Доктор Веб: В Рунете появилась усовершенствованная версия трояна Mayachok
Представители компании «Доктор Веб» обнаружили усовершенствованную версию трояна Mayachok, которая способна инфицировать как 32-битные, так и 64-битные версии ОС Windows.
«В момент запуска троянец вычисляет уникальный идентификатор зараженной машины, для чего собирает информацию об оборудовании, имени компьютера и имени пользователя, после чего создает свою копию в папке MyApplicationData. Затем троянец модифицирует системный реестр с целью обеспечения автоматического запуска собственной копии», - отмечается в отчете специалистов.
В 32-битных версиях Windows троянская программа изначально встраивается в уже запущенный на компьютере жертвы процесс explorer.exe, после чего она пытается заразить и другие процессы. Вирус наделен функцией восстановления собственной целостности, в случае его удаления или повреждения.
Что касается 64-битных версий ОС, то в них троян изменяет ветвь системного реестра, которая касается автоматической загрузки приложений, и запускает свой исполняемый файл, а также создает свою резервную копию, после чего удаляет файл дроппера. Вредоносная программа периодически проверяет память компьютера жертвы на наличие своих двух копий, а также присутствие соответствующих записей в реестре.
После запуска на компьютере пользователя троян проверяет, какие антивирусные программы запущены в ней. Успешно установившись на системе Windows, троян пытается встроится во все процессы, а также в процессы вновь запускаемых браузеров. Затем троянец сохраняет в одну из папок собственный конфигурационный файл.
Впоследствии троянская программа устанавливает связь с управляющим сервером и отправляет ему данные об инфицированном компьютере.
«Кроме конфигурационных данных ответ удаленного сервера может содержать команду на загрузку исполняемого файла. После загрузки Trojan.Mayachok.18607 запускает этот файл. Помимо прочего, конфигурационный файл содержит скрипт, который троянец встраивает во все просматриваемые пользователем веб-страницы», - отмечают в «Доктор Веб».
Основной задачей трояна Mayachok является встраивание в открытые в браузере жертвы web-страницы постороннего контента. Жертвами вредоносной программы могут стать пользователи Google Chrome, Mozilla Firefox, Opera и Microsoft Internet Explorer нескольких версий, включая последние.
Троян может публиковать на зараженных web-страницах сторонние сообщение. К примеру сообщение в соцсети «ВКонтакте» выглядит следующим образом:
Пользователя просят ввести номер мобильного телефона для якобы разблокировки его учетной записи. На самом же деле после ввода номера телефона пользователь подписывается на платные услуги web-сайта http://vkmediaget.com.
«В момент запуска троянец вычисляет уникальный идентификатор зараженной машины, для чего собирает информацию об оборудовании, имени компьютера и имени пользователя, после чего создает свою копию в папке MyApplicationData. Затем троянец модифицирует системный реестр с целью обеспечения автоматического запуска собственной копии», - отмечается в отчете специалистов.
В 32-битных версиях Windows троянская программа изначально встраивается в уже запущенный на компьютере жертвы процесс explorer.exe, после чего она пытается заразить и другие процессы. Вирус наделен функцией восстановления собственной целостности, в случае его удаления или повреждения.
Что касается 64-битных версий ОС, то в них троян изменяет ветвь системного реестра, которая касается автоматической загрузки приложений, и запускает свой исполняемый файл, а также создает свою резервную копию, после чего удаляет файл дроппера. Вредоносная программа периодически проверяет память компьютера жертвы на наличие своих двух копий, а также присутствие соответствующих записей в реестре.
После запуска на компьютере пользователя троян проверяет, какие антивирусные программы запущены в ней. Успешно установившись на системе Windows, троян пытается встроится во все процессы, а также в процессы вновь запускаемых браузеров. Затем троянец сохраняет в одну из папок собственный конфигурационный файл.
Впоследствии троянская программа устанавливает связь с управляющим сервером и отправляет ему данные об инфицированном компьютере.
«Кроме конфигурационных данных ответ удаленного сервера может содержать команду на загрузку исполняемого файла. После загрузки Trojan.Mayachok.18607 запускает этот файл. Помимо прочего, конфигурационный файл содержит скрипт, который троянец встраивает во все просматриваемые пользователем веб-страницы», - отмечают в «Доктор Веб».
Основной задачей трояна Mayachok является встраивание в открытые в браузере жертвы web-страницы постороннего контента. Жертвами вредоносной программы могут стать пользователи Google Chrome, Mozilla Firefox, Opera и Microsoft Internet Explorer нескольких версий, включая последние.
Троян может публиковать на зараженных web-страницах сторонние сообщение. К примеру сообщение в соцсети «ВКонтакте» выглядит следующим образом:
Пользователя просят ввести номер мобильного телефона для якобы разблокировки его учетной записи. На самом же деле после ввода номера телефона пользователь подписывается на платные услуги web-сайта http://vkmediaget.com.