Порой пользователи пренебрегают необходимостью установки на своем компьютере антивирусного программного обеспечения, и в результате многие из них становятся жертвами распространителей вредоносных программ. Можно сказать, что в этом отношении чуть больше других повезло разве что пользователям, компьютеры которых заразились многокомпонентным троянцем Trojan.Tofsee — помимо рассылки спама он умеет «лечить» систему от других угроз, причем справляется с этой задачей на удивление успешно.
Распространяется Trojan.Tofsee несколькими различными способами: с помощью программы Skype, через социальные сети и съемные накопители. В первом случае злоумышленники используют в своих целях классические методы социальной инженерии, а именно, пытаются ввести потенциальную жертву в заблуждение, сообщив ей о том, что в сети якобы опубликованы шокирующие фотографии или видеозаписи с ее участием. Безусловно, такой подход вполне можно назвать «классикой жанра», поскольку он используется распространителями вирусов на протяжении уже многих лет, однако излишне доверчивые люди все равно продолжают попадаться в эту нехитрую западню.
Отвечает за распространение Trojan.Tofsee через социальные сети Twitter, Facebook и «ВКонтакте», а также через программу Skype специальный модуль, который троянец скачивает с сервера злоумышленников. Отправляемые сообщения строятся по шаблону, который передается в конфигурационном файле. Сообщения пользователям социальных сетей отсылаются с учетом используемого ими национального языка. Например, потенциальным жертвам, говорящим на русском языке, рассылаются следующие сообщения (оригинальные орфография и пунктуация сохранены):
В тексте сообщения приводится ссылка на страницу, где потенциальная жертва якобы может ознакомиться с компрометирующими ее видеозаписями или фотографиями. Однако для просмотра этого контента пользователю предлагается загрузить плагин для браузера, под видом которого и распространяется Trojan.Tofsee.
Для отправки сообщений на сайты Twitter, Facebook и «ВКонтакте» вредоносный модуль использует данные сессии из файлов cookies браузеров Microsoft Internet Explorer, Mozilla Firefox, Opera, Safari, Google Chrome. В программу Skype сообщения отсылаются с помощью нажатия кнопок в окне самого приложения. Модуль также умеет распознавать защиту captcha на сайте социальной сети Facebook — для этого она отправляется на сервер, где распознается, после чего троянец получает текст для ввода в соответствующую экранную форму.
Другой модуль позволяет троянцу распространяться с помощью съемных flash-накопителей. Здесь вирусописатели тоже решили не изобретать велосипед и пошли традиционным путём: модуль сохраняет исполняемый файл Trojan.Tofsee в Корзине, а в корневой папке съемного накопителя создает файл автозапуска autorun.inf. Заражение выполняется по команде с управляющего сервера.
Еще один модуль позволяет осуществлять обновление ядра троянца Trojan.Tofsee с принадлежащего злоумышленникам сервера. Для этого используется специальный конфигурационный файл, содержащий необходимые для выполнения этой процедуры параметры. Если один из параметров не указан, вместо обновления троянец загружает с командного сервера вот такую любопытную картинку:
Однако наибольший интерес с точки зрения своего функционального назначения представляет модуль, предназначенный для поиска и удаления на инфицированном компьютере всех обнаруженных троянцев и других вредоносных программ (за исключением, разумеется, самого Trojan.Tofsee). Этот плагин может искать на диске файлы по заданному списку, а также записи в системном реестре Windows, перечислять запущенные процессы и удалять обнаруженные опасные файлы. Таким образом, даже если на компьютере жертвы не установлена антивирусная программа, Trojan.Tofsee «заботится» о его безопасности.
Основное назначение Trojan.Tofsee — это рассылка спама, при этом тексты отправляемых писем формируются с помощью специальных шаблонов, которые троянец скачивает с сервера злоумышленников. Функции для работы с сетью и протоколом SMTP реализованы в основном модуле Trojan.Tofsee. После успешного подключения к управляющему серверу тот отсылает троянцу ключи для расшифровки данных. Затем троянец передает на командный сервер данные о себе и получает от него задание, содержащее команды для последующего выполнения. Любопытно, что для создания отправляемых писем троянец использует собственный скриптовый язык, что само по себе является большой редкостью в мире вредоносного программного обеспечения.
В настоящий момент Trojan.Tofsee может загружать с удаленных серверов 17 подключаемых модулей, реализованных в виде динамических библиотек. Помимо уже описанных выше, другие модули, которые использует в своей работе Trojan.Tofsee, имеют следующее функциональное назначение: