Trojan-Proxy.Win32. Mitglieder.o

Троянская программа, запускающая почтовый прокси-сервер на компьютере пользователя. Является библиотекой Windows (DLL-файл). Имеет размер 27136 байт.

Инсталляция

Данный троянец инсталлируется в систему при помощи других вредоносных программ.

Для автоматической загрузки при каждом последующем старте операционной системы вирус добавляет ссылку на компонент, загружающий троянскую библиотеку, в ключ автозапуска системного реестра:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
  "RealUpdater" = "<путь и имя исполняемого файла компонента>"
  

Также создается ключ реестра, в котором хранятся настройки троянца:

  [HKCU\Software\Timeout]
  

Деструктивная активность

Троянская программа создает SMTP прокси-сервер на произвольном TCP-порту. Затем отправляет номер порта, на котором запущен proxy, в URL-запросе на сайт злоумышленника.

В результате зараженная машина может использоваться в зомби-сети для рассылки спама.

Троянец скачивает обновления для своего исполняемого файла по следующим ссылкам:

  http://69.28.***.195/cgi-bin/get.cgi
  http://www.ftops****.com/cgi-bin/get.cgi
  http://www.g***port.biz/cgi-bin/get.cgi
  

Обновления запускаются на исполнение после того как вирус сохранит их в корневом каталоге Windows:

  %WinDir%\realupd.exe
  

Также троян похищает пароли к учетным записям из файлов данных следующих ICQ и почтовых клиентов:

  Trillian
  Miranda
  Mirabilis ICQ
  TheBat!
  Outlook
  

Троянская программа отправляет на сайт злоумышленника собранные данные, а также информацию о версии установленной ОС и времени работы троянца.

Другие названия

Trojan-Proxy.Win32.Mitglieder.o («Лаборатория Касперского») также известен как: TrojanProxy.Win32.Mitglieder.o («Лаборатория Касперского»), W32/Bagle.dll.gen (McAfee), Trojan.Mitglieder.I (Symantec), Win32.HLLM.Beagle.35328 (Doctor Web), Troj/Mitglied-N (Sophos), TrojanProxy:Win32/Mitglieder.O (RAV), TROJ_MITGLIEDR.O (Trend Micro), Proxy.2.BH (Grisoft), Trojan.Proxy.Mitglieder.O (SOFTWIN), Trojan.Proxy.W32.Mitglieder.O (ClamAV), W32/Mitglieder.J.wo (Panda), Win32/TrojanProxy.Mitglieder.O (Eset)