Выявленный американскими экспертами «троянец», в отличие от многих его собратьев, не используется для нанесения прямого ущерба владельцу зараженного компьютера. Получив доступ к чужому компьютеру, создатели программы не воруют коды, пароли или номера кредиток, а просто превращают добропорядочного пользователя в распространителя спама, порнографии и прочего нехорошего контента.
Причем сам пострадавший о своем падении даже не подозревает.
Как сообщает PC World, «троянец» превращает произвольный подключенный к сети компьютер в сервер, используемый спаммерами и владельцами порносайтов в качестве посредника.
Получив от хозяина пакет спамовых сообщений, программа уничтожает все способные выдать его служебные отметки, в частности IP-адрес, и заменяет их данными компьютера, на котором она установлена. После этого огромное количество рекламных электронных писем выбрасываются в сеть уже от имени жертвы, которой к тому же приходится оплачивать увеличение трафика.
Одновременно «троянец» обеспечивает всем желающим доступ к сетевой порнографии, во многих странах порицаемой и наказуемой. После того как пользователь кликает по ссылке на порноресурс, запрос поступает на пораженный «троянцем» компьютер, откуда переправляется на сервер с картинками. Оттуда картинки идут к пользователю также через пораженный компьютер-посредник.
А чтобы его владелец не успел заподозрить неладное, каждая машина используется в качестве промежуточного сервера не дольше 10 минут.
Затем управляющая «троянцами» система передает эстафету другому компьютеру, и все начинается сначала.
По мнению экспертов, использование новой схемы существенно осложнит борьбу со спаммерами, мошенниками и распространителями порнографии. «Как спаммер вы должны заботиться о том, чтобы рассылаемые вами сообщения доходили до почтовых ящиков. Такой подход решает эту задачу, сводя к нулю эффективность большинства блокирующих поступление спама программ», — считает эксперт по борьбе со спамом компании Qurb Линус Апсон. В случаях, когда спам используют не для рекламы, а в мошеннических целях («нигерийские письма» и проч.), использование блуждающих серверов значительно затрудняет поимку преступников. И хозяева порносайтов могут быть практически спокойны за судьбу своих ресурсов – обнаружить за множеством постоянно меняющихся посредников истинный адрес их сайта становится очень непросто.
Лишь после тщательного изучения обнаруженного на одном из компьютеров «троянца» эксперту чикагской компании LURHQ Джо Стюарту и его бостонскому коллеге Ричарду Смиту удалось понять, откуда он управляется. Головной сайт создателей вредной программы, хостинг которого обеспечивала хьюстонская компания Everyones Internet, был отключен. Однако эксперты уверены, что созданная система была построена по принципу пиринговых (обменных) сетей, для разрушения которых недостаточно вывести из строя лишь один из узлов. Выяснить же пути распространения заразы пока не удалось.
Размножаться самостоятельно на манер компьютерных вирусов отловленный «троянец» пока не способен, однако, по мнению экспертов LURHQ, он вполне может распространяться через канал IRC или пиринговые сети вроде KaZaA, заноситься на компьютеры вирусами вроде W32.Sobig или подгружаться в машины неосторожно кликнувших по зараженной ссылке пользователей. В ближайшее время эксперты ожидают появления новых модификаций вредной программы.
Появятся они, как ожидают Ричард Смит и Джо Стюарт, из России.
Они утверждают, что выявленные ими доменные имена порносайтов и адреса электронной почты прямо указывают на то, что создатели «троянца» — россияне.