A Spamnost trójai a spammereket segíti abban, hogy a megfertőzött számítógépekről nagy mennyiségben küldi szét a nemkívánatos küldeményeket. A trójai ezúttal elsősorban nem a helyi számítógépeken található e-mail címek alapján szórja szét a nagyvilágba a levélszemetet, hanem a terjesztői által fenntartott szerverekhez kapcsolódik, amelyekről minden spammeléshez szükséges információt beszerez. Így a levelek címzettjeinek listáját, tárgyát és üzenetét is távoli kiszolgálókról letöltött adatok alapján állítja össze.
Az Isidor Biztonsági Központ szerint a Spamnost semmiféle olyan módosítást nem végez a rendszereken, amelyek felhívhatnák a felhasználók figyelmét arra, hogy a számítógépük a háttérben ontja magából a spameket. A trójai képes a hálózati kommunikációt tikosítani, illetve tömöríteni.
A trójai egy megtévesztő, svcnost.exe nevű állomány révén kerülhet be a memóriába.
Amikor a Spamnost trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományt:
%UserProfile%/Application Data/[véletlenszerű karakterek]/svcnost.exe
2. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run/"mssend" = "/"%UserProfile%/Application Data/[véletlenszerű karakterek]/svcnost.exe/""
3. A regisztrációs adatbázishoz hozzáfűzi a következő értéket:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/SharedAccess/Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications/List/"%UserProfile%/Application Data/[véletlenszerű karakterek]/svcnost.exe" = "%UserProfile%/Application Data/[véletlenszerű karakterek]/svcnost.exe:*:Enabled:ldrsoft"
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/SharedAccess/Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications/List/"%UserProfile%/Application Data/[véletlenszerű karakterek]/svcnost.exe" = "%UserProfile%/Application Data/[véletlenszerű karakterek]/svcnost.exe:*:Enabled:ldrsoft"
4. Módosítja az Internet Explorer egyik beállítását:
HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/LowRegistry/"SavedLegacySettingsML" = "[...]"
5. Létrehozza a következő fájlt:
%UserProfile%/Application Data/desktop.ini
%UserProfile%/Application Data/ntuser.dat
Az előbbi valójában egy DLL-állomány, ami a hálózati adatforgalom titkosításáért felel, míg az utóbbi fájl tömörítési feladatokat lát el.
6. Csatlakozik előre meghatározott távoli szerverekhez, és konfigurációs állományokat tölt le azokról.
7. Interneten keresztül beszerzett e-mail címek alapján elektronikus leveleket küldözget.
Az e-mailek tárgya lehet:
"Christmas SALE 30%..."
1 hozzászólás
Aztán mit lehet ellene tenni?