Компания «Доктор Веб» сообщает о
появлении новой опасной модификации вредоносной программы
Trojan.Mayachok, сигнатура которой добавлена в вирусные базы Dr.Web под
именем Trojan.Mayachok.17727.
С начала сентября специалистами
компании зафиксировано значительное снижение числа заражений
Trojan.Mayachok.1, до конца августа уверенно лидировавшего в списке
наиболее распространенных угроз. Сокращение случаев инфицирования весьма
значительно: по сравнению с показателями второй половины августа, общее
количество инфицированных ПК сократилось на 31%.
Подобное
изменение динамики аналитики «Доктор Веб» связывают с появлением новой
модификации Trojan.Mayachok, которая, судя по всему, пришла на смену
первой. В новой версии троянца, получившей наименование
Trojan.Mayachok.17727, был значительно видоизменен код, а главное,
используются решения, направленные на обеспечение еще большей
незаметности троянца для пользователя. Так, дроппер
Trojan.Mayachok.17727 не перезагружает компьютер в процессе заражения, а
сам момент установки остается абсолютно незаметным для жертвы.
Троянская
программа состоит из двух компонентов: дроппера и динамической
библиотеки, в которой реализован основной вредоносный функционал
троянца. Дроппер создает в директории %MYDOCUMENTS% папку с именем
IntMayak, в которую временно сохраняет троянскую библиотеку и REG-файл,
предназначенный для регистрации библиотеки в системе. Затем дроппер ищет
в памяти ПК запущенный процесс explorer.exe и внедряет в него
вредоносный код. С использованием данного кода, уже от имени процесса
explorer.exe, троянец сохраняет в системную директорию %SYSTEM32% копию
вредоносной библиотеки. С помощью редактора реестра
Trojan.Mayachok.17727 импортирует REG-файл, модифицируя ветвь реестра,
отвечающую за загрузку вредоносной библиотеки во все процессы. Затем
дроппер удаляет временные файлы и саму папку IntMayak, а также с целью
сокрытия способа своего проникновения в систему уничтожает файлы cookies
и очищает кеш браузера Microsoft Internet Explorer.
Вредоносная
библиотека работает с браузерами Microsoft Internet Explorer, Opera,
Mozilla Firefox, Google Chrome. В процессе работы Trojan.Mayachok.17727
записывает на диск зашифрованный конфигурационный файл, в котором хранит
список управляющих серверов, внедряемый в просматриваемые пользователем
веб-страницы скрипт и другие параметры.
В отличие от
Trojan.Mayachok.1, в код троянца были внесены существенные изменения:
исчезла проверка на наличие в инфицируемой системе средств
виртуализации, изменено число поддерживаемых процессов, а также механизм
сравнения их имен, отсутствует функция проверки конфигурационного файла
на целостность. Стоит напомнить, что Trojan.Mayachok стал одним из
первых троянцев, использующих технику заражения VBR (Volume Boot
Record): эта техника, как оказалось впоследствии, не была разработана
создателями данной угрозы, а приобреталась ими у других вирусописателей.
Например, аналогичный код был обнаружен в банковском троянце
Trojan.Carberp.
|
Главная 
