Еще одна модификация Trojan.Mayachok

Компания «Доктор Web» предупредила о появлении новой модификации вредоносной программы Trojan.Mayachok, добавив ее сигнатуру в свои вирусные базы под именем Trojan.Mayachok.17727. С начала сентября специалистами компании зафиксировано значительное снижение числа заражений Trojan.Mayachok.1, до конца августа лидировавшего в списке наиболее распространенных угроз: по сравнению с показателями второй половины августа общее количество инфицированных ПК меньше на 31%. Подобную динамику аналитики «Доктор Web» связывают с появлением новой модификации Trojan.Mayachok, которая, видимо, пришла на смену первой.

В новой версии троянца значительно видоизменен код, а главное, используются решения, направленные на обеспечение еще большей незаметности для пользователя. Так, дроппер Trojan.Mayachok.17727 не перезагружает компьютер в процессе заражения, а сам момент установки остается абсолютно незаметным для жертвы.

Троянская программа состоит из двух компонентов: дроппера и динамической библиотеки, в которой реализован основной вредоносный функционал. Дроппер создает в директории %MYDOCUMENTS% папку с именем IntMayak, в которую временно сохраняет троянскую библиотеку и REG-файл, предназначенный для регистрации библиотеки в системе. Затем дроппер ищет в памяти ПК запущенный процесс explorer.exe и внедряет в него вредоносный код. С использованием данного кода, уже от имени процесса explorer.exe, троянец сохраняет в системную директорию %SYSTEM32% копию вредоносной библиотеки. С помощью редактора реестра Trojan.Mayachok.17727 импортирует REG-файл, модифицируя ветвь реестра, отвечающую за загрузку вредоносной библиотеки во все процессы. Затем дроппер удаляет временные файлы и саму папку IntMayak, а также с целью сокрытия способа своего проникновения в систему уничтожает файлы cookies и очищает кеш браузера Microsoft Internet Explorer.

Библиотека работает с браузерами Microsoft Internet Explorer, Opera, Mozilla Firefox, Google Chrome. В процессе работы Trojan.Mayachok.17727 записывает на диск зашифрованный конфигурационный файл, в котором хранит список управляющих серверов, внедряемый в просматриваемые пользователем Web-страницы скрипт и другие параметры.

По сравнению с Trojan.Mayachok.1в код троянца внесены существенные изменения: исчезла проверка на наличие в инфицируемой системе средств виртуализации, изменено число поддерживаемых процессов, а также механизм сравнения их имен, отсутствует функция проверки конфигурационного файла на целостность. Стоит напомнить, что Trojan.Mayachok стал одним из первых троянцев, использующих технику заражения VBR (Volume Boot Record): эта техника, как оказалось впоследствии, не была разработана создателями данной угрозы, а приобреталась ими у других вирусописателей. Например, аналогичный код был обнаружен в банковском троянце Trojan.Carberp.