Trojan.Spambot

Тип вируса: Троянец для массовой рассылки рекламных писем.

Уязвимые ОС: Win95/98/Me/NT/2000/XP

Размер файла: 16 896

Упакован: UPX

Техническая информация

Троянец, предназначенный для создания массовой рассылки почтовых сообщений. При запуске создаётся файл-семафор с расширением *.pid размером 4 байта в том же каталоге, где находится сам троян-спамбот.

Semaphore \BaseNamedObjects\shell.{A48F1A32-A340-11D1-BC6B-00A0C90312E1}
Semaphore \BaseNamedObjects\shell.{210A4BA0-3AEA-1069-A2D9-08002B30309D}

Рассылается в несколько потоков по адресам, содержащим следующие подстроки:
[постоянный буквенно-числовой код, состоящий из 3-8 символов][случайный буквенно-числовой код]@domain,

где @domain:

@hotmail.com
@msn.com
@yahoo.com
@yahoo.fr
@yahoo.gr
@yahoo.com.br
@yahoo.com.ar
@yahoo.it
@aol.com
@rogers.com
@btinternet.com
@wxs.nl
@hol.gr
@hellasnet.gr
@comcast.net
@earthlink.net
@osu.edu
@netsafe.se
@mac.org.il
@clix.pt
@idsc.net.eg
@portugalmail.com
@hol.gr
@charter.net
@schwarze.com
@dps.state.nm.us
@spro.net
@skynet.be
@kda.attmil.ne.jp
@prtel.com
@post.fukubiki.com
@canal21.com
@urla.com
@origoingatlan.hu
@bmk.hu
@eeg.com
@pinto.com
@leopardfilms.com
@sympatico.ca
@interchange.ubc.ca
@freeusisp.com
@mail4y.com
@see169.com
@webenterprisesltd.com
@sdgsd.com
@fdgfg.com
@arlingtonroe.com
@ask-cts.com
@atlantechusa.com
@bcc.ctc.edu
@bega-us.com
@brtc.net

Преимущественно рассылка осуществялется по адресам, содержащими подстроки таких почтовых сервисов как hotmail.com, msn.com, yahoo.*

Свою рассылку пытается осуществить, соединяясь со следующими SMTP-серверами:

xa.mx.aol.com frances.simmons.edu mymail.bright.net mx1.hotmail.com alfheim.control.utoronto.ca mouse.musc.edu gsmtp93.google.com rbsd.wmsc.k12.ar.us smtp-1.luther.edu smtp.secureserver.net mail.eod.com mail.httpsolutions.com c1-sf.emaildefenseservice.com moex-0.sjc.mail-abuse.com mailrelay.37.website.ws inbound.sc1.he.tucows.com cmail.seanet.com gateway.mchsi.com didamail.com 209.86.93.226 209.144.225.70 208.17.33.40 168.144.68.107 137.82.224.74 66.161.25.21 65.73.232.189 64.18.7.10

Ведёт статистику посланных писем, времени, затраченного на рассылку, которую передает на сервер http://wm.grasuta.info и почтовый адрес forsp@adultsoft.biz

Рассылаемые письма имеют рекламный характер. Примерный вид письма, рассылаемого этим трояном:

Рекомендации по лечению

В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.

Демо бесплатно

Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

Демо бесплатно

Скачать Dr.Web

По серийному номеру

Скачать Dr.Web с Apple Store

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

Скачать Dr.Web

По серийному номеру

Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
- загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
- после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
- выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android