Новая модификация Trojan.Mayachok

--> Дата: Авг 29, 2012 45

Компания «Доктор Веб» сообщила о распространении новой модификации троянской программы семейства Trojan.Mayachok (в вирусные базы Dr.Web он занесен под именем Trojan.Mayachok.17516). Эта угроза имеет пределенное сходство с распространенным троянцем Trojan.Mayachok.1, но есть и ряд существенных отличий.

Trojan.Mayachok.17516 представляет собой динамическую библиотеку, устанавливаемую в ОС с использованием дроппера, который в общем случае расшифровывает и копирует эту библиотеку на диск. Если в ОС включена функция контроля учетных записей пользователей (UAC), дроппер копирует себя во временную папку под именем flash_player_update_1_12.exe и запускается на исполнение.

В случае успешного запуска этот исполняемый файл расшифровывает содержащую троянца библиотеку и сохраняет ее в одну из системных папок со случайным именем. Существуют версии библиотеки как для 32-разрядной, так и для 64-разрядной Windows. Затем дроппер регистрирует библиотеку в системном реестре и перезагружает компьютер.

Вредоносная библиотека пытается встроиться в другие процессы с использованием регистрации в параметре реестра AppInit_DLLs, при этом, в отличие от Trojan.Mayachok.1, Trojan.Mayachok.17516 работает не только в контексте процессов браузеров, но и в процессах svchost.exe и explorer.exe. В 64-разрядных системах вредоносная программа работает только в этих двух процессах. Троянец использует зашифрованный конфигурационный файл, который он сохраняет либо во временную папку, либо в служебную папку %appdata%.

Основные функции Trojan.Mayachok.17516 заключаются в скачивании и запуске исполняемых файлов, перехвате сетевых функций браузеров. С использованием процесса explorer.exe Trojan.Mayachok.17516 выполняет скрытый запуск браузеров и проводит «накрутку» посещаемости некоторых интернет-ресурсов. Инфицированный процесс svchost.exe отвечает за обеспечение связи с удаленным командным сервером, а также за загрузку конфигурационных файлов и обновлений. Злоумышленникам, в свою очередь, передается информация о зараженном компьютере, в том числе версия ОС, сведения об установленных браузерах и т. д.