Компания «Доктор Веб» сообщила о распространении новой модификации
троянской программы семейства Trojan.Mayachok, добавленной в вирусные
базы Dr.Web под именем Trojan.Mayachok.17516. Несмотря на то, что эта
угроза имеет определенное сходство с широко распространенным троянцем Trojan.Mayachok.1, в ее архитектуре выявлен и ряд существенных отличий.
Trojan.Mayachok.17516
представляет собой динамическую библиотеку, устанавливаемую в
операционную систему с использованием дроппера, который, являясь
исполняемым файлом, в общем случае расшифровывает и копирует эту
библиотеку на диск. Если в операционной системе включена функция
контроля учетных записей пользователей (User Accounts Control, UAC),
дроппер копирует себя во временную папку под именем
flash_player_update_1_12.exe и запускается на исполнение.
В случае успешного запуска этот исполняемый файл расшифровывает
содержащую троянца библиотеку и сохраняет ее в одну из системных папок
со случайным именем. Существуют версии библиотеки как для 32-разрядной,
так и для 64-разрядной версий Windows. Затем дроппер регистрирует
библиотеку в системном реестре и перезагружает компьютер.
Вредоносная
библиотека пытается встроиться в другие процессы с использованием
регистрации в параметре реестра AppInit_DLLs, при этом, в отличие от
Trojan.Mayachok.1, Trojan.Mayachok.17516 «умеет» работать не только в
контексте процессов браузеров, но также в процессах svchost.exe и
explorer.exe (Проводник Windows). Примечательно, что в 64-разрядных
системах вредоносная программа работает только в этих двух процессах.
Троянец использует для своей работы зашифрованный конфигурационный файл,
который он сохраняет либо во временную папку, либо в служебную папку
%appdata%.
Основные функции Trojan.Mayachok.17516 заключаются в
скачивании и запуске исполняемых файлов, перехвате сетевых функций
браузеров. С использованием процесса explorer.exe Trojan.Mayachok.17516
осуществляет скрытый запуск браузеров и производит «накрутку»
посещаемости некоторых интернет-ресурсов. Инфицированный процесс
svchost.exe отвечает за обеспечение связи с удаленным командным
сервером, а также за загрузку конфигурационных файлов и обновлений.
Злоумышленникам, в свою очередь, передается информация о зараженном
компьютере, в том числе версия операционной системы, сведения об
установленных браузерах и т. д.
Источник:
троянской программы семейства Trojan.Mayachok, добавленной в вирусные
базы Dr.Web под именем Trojan.Mayachok.17516. Несмотря на то, что эта
угроза имеет определенное сходство с широко распространенным троянцем Trojan.Mayachok.1, в ее архитектуре выявлен и ряд существенных отличий.
Trojan.Mayachok.17516
представляет собой динамическую библиотеку, устанавливаемую в
операционную систему с использованием дроппера, который, являясь
исполняемым файлом, в общем случае расшифровывает и копирует эту
библиотеку на диск. Если в операционной системе включена функция
контроля учетных записей пользователей (User Accounts Control, UAC),
дроппер копирует себя во временную папку под именем
flash_player_update_1_12.exe и запускается на исполнение.
В случае успешного запуска этот исполняемый файл расшифровывает
содержащую троянца библиотеку и сохраняет ее в одну из системных папок
со случайным именем. Существуют версии библиотеки как для 32-разрядной,
так и для 64-разрядной версий Windows. Затем дроппер регистрирует
библиотеку в системном реестре и перезагружает компьютер.
Вредоносная
библиотека пытается встроиться в другие процессы с использованием
регистрации в параметре реестра AppInit_DLLs, при этом, в отличие от
Trojan.Mayachok.1, Trojan.Mayachok.17516 «умеет» работать не только в
контексте процессов браузеров, но также в процессах svchost.exe и
explorer.exe (Проводник Windows). Примечательно, что в 64-разрядных
системах вредоносная программа работает только в этих двух процессах.
Троянец использует для своей работы зашифрованный конфигурационный файл,
который он сохраняет либо во временную папку, либо в служебную папку
%appdata%.
Основные функции Trojan.Mayachok.17516 заключаются в
скачивании и запуске исполняемых файлов, перехвате сетевых функций
браузеров. С использованием процесса explorer.exe Trojan.Mayachok.17516
осуществляет скрытый запуск браузеров и производит «накрутку»
посещаемости некоторых интернет-ресурсов. Инфицированный процесс
svchost.exe отвечает за обеспечение связи с удаленным командным
сервером, а также за загрузку конфигурационных файлов и обновлений.
Злоумышленникам, в свою очередь, передается информация о зараженном
компьютере, в том числе версия операционной системы, сведения об
установленных браузерах и т. д.
Источник:
» Шифровальщик CryptXXX 3.0 обезвредили!
» Вымогатель Kangaroo блокирует пользователям доступ к Windows
» Microsoft заявляет, что новую 0-day уязвимость в Windows используют хакеры из Fancy Bear
» 360 Total Security 8.8.0.1083 [Multi/Ru]
» SecureAPlus Freemium 4.3.3 [Multi/Ru]
» GridinSoft Anti-Malware [Multi/Ru] - антивирусная утилита!
» Новый вариант трояна Kovter маскируется под обновления для Firefox
» Эксперт представил способ похищения данных через кулер компьютера