Всеобщее признание получил сайт «Ответы@Mail.Ru», который позволяет размещать вопросы и добиваться ответов от пользователей популярной системы Mail.ru.
В это время копии полученных автором ответов отправляются ему по адресу персонального почтового ящика. По всей видимости, именно эту особенность сервиса учел создатель вируса-троянца Win32.HLLM.MailSpamer. Данный вирус распространяется через электронные письма с темой «Re: С проекта Ответы@Mail.Ru». и содержат в себе содержание, способное навредить компьютеру пользователя.
Навярняка, раскрутка сайта «Ответы@Mail.Ru» производилась настоящими профессионалами, поскольку сейчас он пользуется широчайшей популярностью. Миллионы людей могут получить полезную информацию, вплоть до готовых бизнес-планов для деятельности. Но пользуясь этим сервисом, Вы можете столкнуться с вредоносным письмом. Каждое такое письмо содержит один из вариантов сообщений, таких как «я почему-то сразу нагуглил» или «а самому было лень поискать?», и ссылку на сайт файлообменной службы, ведущую на страничку загрузки ZIP-архива. Данный архив содержит исполняемый файл setup.exe и документ Readme.doc. При запуске приложения setup.exe на экране отображается стандартное окно программы-инсталлятора. Данная программа открывает на чтение файл Readme.doc, где в зашифрованном виде хранится троянец Win32.HLLM.MailSpamer.
После расшифровки вирусный скрипт сохраняется на жесткий диск в виде динамической библиотеки, которая, в свою очередь, извлекает из своего тела исполняемый файл и запускает его. Затем троянец вносит ряд изменений в системный реестр, прописав собственный исполняемый файл в отвечающую за автоматический запуск ветвь, а также отключает в групповых и локальных политиках User Accounts Control.
Запустившись на выполнение, Win32.HLLM.MailSpamer определяет тип и версию ОС, значение серийного номера жесткого диска и IP-адрес инфицированной машины, после чего отправляет соответствующий отчет на удаленный командный сервер злоумышленников. Оттуда троянец получает конфигурационный файл, в котором указан объект для последующей загрузки. Таким объектом, в частности, является программа alqon.exe, которая скачивается с удаленного узла и запускается на выполнение. Это вредоносный скрипт устанавливает соединение с командным сервером и получает от него конфигурацию системы, логин и пароль для доступа к почтовому серверу, а также текст рассылаемого по почте сообщения и ссылку на вредоносный файл. Соединившись с сервером smtp.mail.ru, Win32.HLLM.MailSpamer осуществляет рассылку почтовых сообщений с использованием указанных в конфигурационном файле параметров. Кроме того, в троянце имеется функционал, позволяющий рассылать почтовые сообщения посредством веб-интерфейса.