Doctor Web annonce la propagation d’un programme malveillant avec un algorithme de fonctionnement assez intéressant, il s’agit du Trojan.Spambot.11349. Le danger de ce trojan consiste dans sa capacité à voler les données des comptes utilisateurs des clients de messagerie, notamment ceux de Microsoft Outlook et The Bat!, il transmet également aux malfaiteurs les données utilisées par la fonction d’autocompletion des formulaires (champs d’entrées) dans les navigateurs web.

Ce trojan se propage via un botnet de backdoors très répandu, Backdoor.Andromeda. Le Trojan.Spambot.11349 possède deux composants : un loader écrit en langage Delphi et une bibliothèque dynamique contenant un payload. Les fonctions de loader consistent à détourner le pare-feu et à installer le payload. Si le loader est lancé depuis un processus dont le nom ne contient pas « vcnost.e », le trojan élimine tous les processus contenant dans leurs noms svcnost, ensuite il se sauvegarde dans un des dossiers sur le disque dur sous le nom svcnost.exe et crée un lien correspondant dans les branches de la base de registre relatives à l’auto démarrage des applications.  Ensuite, le Trojan.Spambot.11349 lance une copie de lui-même et si cette copie s’exécute  en mode administrateur, le trojan apporte des modifications dans la base de registre afin de détourner le pare-feu Windows, il écrase le fichier hosts en bloquant l’accès de l’utilisateur à des sites d’éditeurs d’antivirus. Enfin, le loader enregistre la bibliothèque dynamique contenant un payload dans la mémoire vive de l’ordinateur puis c’est à elle d’agir.

A partir de là, la bibliothèque vérifie si sa copie est sauvegardée sur le disque, ensuite elle enregistre dans la base de registre  une valeur de 9 chiffres aléatoires, qui deviennent un identificateur du bot.  Le Trojan.Spambot.11349 sauvegarde la bibliothèque sur le disque pour pouvoir fonctionner avec SSL et la bibliothèque zlib, lui permettant de compresser toutes les lignes de ses commandes.  En même temps, une adresse IP parasite se trouve dans le champ HOST des requêtes envoyées par le bot, c’est là le trait caractérisant le Trojan.Spambot.11349 car il n’est pas courant qu’un trojan utilise des bibliothèques dynamiques différentes pour zlib et SSL.

Un autre trait distinctif du Trojan.Spambot.11349 est qu’il envoie une séquence de requêtes à des adresses IP générées par  un algorithme spécialisé selon  la liste des sous-réseaux contenue dans les ressources du trojan. Ensuite, le trojan se connecte à l’un des trois serveurs de gestion dont les adresses se trouvent dans la bibliothèque sous forme codée, qui lui envoie un fichier de configuration. Si le trojan réceptionne correctement le fichier, il compose une ligne de requête contenant les données volées des comptes utilisateurs Microsoft Outlook et The Bat!, cette demande est compressé par zlib et transmise au serveur de gestion. Lorsque l’OS est infecté, le trojan vérifie s’il peut se servir de l’ordinateur pour envoyer du spam, il cherche à envoyer des spams contenant des  symboles pris au hasard. Si l’envoi de spam est réussi, le trojan reçoit depuis le serveur de gestion des instructions pour d’autres envois. Au 24 avril, les messages spam du Trojan.Spambot.11349 étaient de la publicité pour le viagra.

La signature de cette menace est ajoutée aux bases virales Dr.Web.