El troyano utiliza servidores .edu y .mil como centros de distribución de spam.

BitDefender anunció que analistas antivirus de BitDefender han descubierto un esquema de envío de spam de complejidad bizantina. El descubrimiento se dio con la identificación de mensajes de correo electrónico spam que afirman contener vínculos a videos. Cuando los usuarios intentan hacer clic en el vínculo y ver el video, se les indica en su lugar que descarguen un “reproductor multimedia”.

El reproductor multimedia es de hecho Backdoor.Edunet.A, pieza de malware que utiliza las computadoras de sus víctimas como canal para enviar comandos a una serie de servidores de correo. Los servidores de correo, que se utilizan para diseminar spam, se encuentran en su mayoría en los dominios .edu y .mil.

El troyano recupera la lista de servidores de una serie de servidores Web que están comprometidos o que son parte de la red propia del atacante. La lista de servidores Web cambia continuamente, pero la de los blancos de los ataques se ha mantenido constante, hasta ahora.

El troyano envía los comandos con la esperanza de encontrar un centro de distribución abierto (un servidor de correo mal configurado que permita a cualquier persona enviar mensajes de correo electrónico), haciendo parecer básicamente que cualquier mensaje de correo que se origina del troyano ha sido enviado en realidad desde el centro de distribución abierto.

FUENTE