Le 1 juillet 2011

Doctor Web annonce une menace de contamination par le Trojan.MailGrab.61. Ce trojan agit pour augmenter le nombre de visiteurs des sites pirates et pour collectionner les adresses électroniques.

S'intégrant dans le système d'exploitation, Trojan.MailGrab.61 crée un dossier temporaire avec un fichier au nom fortuit et une extension .dll, puis commence à créer ses propres copies avec les noms correspondants aux noms des bibliothèques dynamiques appropriées à chaque application. Il fait également une copie dans le dossier du navigateur par défaut sous le nom d'un de ces logiciels au cas où le navigateur ne serait pas encore dans son catalogue de logiciels. La liste des logiciels pouvant être contaminés par Trojan.MailGrab.61 est longue, un  grand nombre de clients ftp et des programmes comme Outlook Express, The Bat!, Windows Mail, Windows Media Player, WinRAR, PHP Expert Editor, Notepad ++, Windows PhotoViewer, DVD Maker, Total Commander, FAR, etc. Lorsque le logiciel contaminé est lancé, le Trojan.MailGrab.61 pénètre dans l'espace d'adressage de son processus sous le nom d'une bibliothèque standard de logiciel et fait supprimer son fichier d'installation lorsque l'OS redémarre.

Étant intégré à la mémoire, le trojan définit la version du système d'exploitation et cherche à établir si le processus dans lequel il a pénétré est le processus du navigateur. Si oui,   le Trojan.MailGrab.61 envoie un message de réussite au serveur pirate et reçoit une liste chiffrée des URLs dont il faut augmenter le nombre de visites. Ensuite, le trojan commence à envoyer les demandes http. Le trojan enregistre toutes les données envoyées et les scanne pour capter  toutes les adresses électroniques et les enregistrer dans le fichier Windows\inf\jer.pnf. Le contenu de ce fichier est également transmis aux malfaiteurs avant d'être supprimé. Ainsi, le trojan enrichit les bases pour le spam.

Pour supprimer le trojan il suffit de scanner le système avec le scanner Dr.Web faisant partie de tout logiciel Doctor Web pour Windows.