Троянская программа, запускающая почтовый прокси-сервер на компьютере пользователя.
Инсталляция
Данный троянец инсталлируется в систему при помощи других вредоносных программ.
Для автоматической загрузки при каждом последующем старте операционной системы вирус добавляет ссылку на компонент, загружающий троянскую библиотеку, в ключ автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "RealUpdater" = "<путь и имя исполняемого файла компонента>"
Также создается ключ реестра, в котором хранятся настройки троянца:
[HKCU\Software\Timeout]
Деструктивная активность
Троянская программа создает SMTP прокси-сервер на произвольном TCP-порту. Затем отправляет номер порта, на котором запущен proxy, в URL-запросе на сайт злоумышленника.
В результате зараженная машина может использоваться в зомби-сети для рассылки спама.
Троянец скачивает обновления для своего исполняемого файла по следующим ссылкам:
http://69.28.***.195/cgi-bin/get.cgi http://www.ftops****.com/cgi-bin/get.cgi http://www.g***port.biz/cgi-bin/get.cgi
Обновления запускаются на исполнение после того как вирус сохранит их в корневом каталоге Windows:
%WinDir%\realupd.exe
Также троян похищает пароли к учетным записям из файлов данных следующих ICQ и почтовых клиентов:
Trillian Miranda Mirabilis ICQ TheBat! Outlook
Троянская программа отправляет на сайт злоумышленника собранные данные, а также информацию о версии установленной ОС и времени работы троянца.
Другие названия
Trojan-Proxy.Win32.Mitglieder.o («Лаборатория Касперского») также известен как: TrojanProxy.Win32.Mitglieder.o («Лаборатория Касперского»), W32/Bagle.dll.gen (McAfee), Trojan.Mitglieder.I (Symantec), Win32.HLLM.Beagle.35328 (Doctor Web), Troj/Mitglied-N (Sophos), TrojanProxy:Win32/Mitglieder.O (RAV), TROJ_MITGLIEDR.O (Trend Micro), Proxy.2.BH (Grisoft), Trojan.Proxy.Mitglieder.O (SOFTWIN), Trojan.Proxy.W32.Mitglieder.O (ClamAV), W32/Mitglieder.J.wo (Panda), Win32/TrojanProxy.Mitglieder.O (Eset)
Одно найти легче, чем другое. Спойлер: это не темная материя