Cпамеры запустили нового троянца, который превращает компьютеры в хосты для порносайтов и спамерского веб-ринга, сообщает IDG. Специалисты по безопасности впервые отметили появление троянца migmaf (от "migrant Mafia") в конце июня. Судя по доменным именам и адресам электронной почты на порносайтах, троянец был выпущен в России. Считается, что тот же троянец связан с раскрытым на прошлой неделе мошенничеством вокруг системы PayPal - некто собирал номера кредитных карт, якобы от имени PayPal рассылая по почте запросы пользователям.

Программа действует двояко: с одной стороны, при пересылке спама подменяет IP-адрес отправителя адресом зараженной машины, с другой, принимает запросы от получателей спама, кликающих на ссылку на порносайт, и перенаправляет эти запросы собственно на сайт. Пользователь, таким образом, не знает реального адреса сайта, контент которого он получает, и, следовательно, владельцы сайта не рискуют лишиться хостинга у своего провайдера. Каждая зараженная машина, куда троянец устанавливает софт для поддержки DNS, предоставляет свой IP-адрес для прикрытия реальных IP-адресов всего на десять минут, а затем уступает место другому зараженному компьютеру. Спамер при этом регулярно обновляет данные у регистратора доменных имен.

Специалисты, однако, не знают, каким образом троянец попадает на пользовательские компьютеры, лишь предполагая, что он может распространяться через IRC, p2p-сети или по почте, как все вирусы. Механизм саморассылки в migmaf отсутствует. На анализ исходного кода троянцу специалистам потребовалась неделя, после чего порносайт, а равно фальшивые серверы PayPal были закрыты.

IDG News Service, The Register, New York Times, Reuters