Вы используете устаревший браузер!

Страница может отображаться некорректно.

Бесплатно демо
Dr.Web для Android
Скачать

Защити созданное

Другие наши ресурсы

  • free.drweb.ru — бесплатные утилиты, плагины, информеры
  • av-desk.com — интернет-сервис для поставщиков услуг Dr.Web AV-Desk
  • curenet.drweb.ru — сетевая лечащая утилита Dr.Web CureNet!
Закрыть

Библиотека
Моя библиотека

+ Добавить в библиотеку

Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

Форум

Ваши запросы

  • Все:
  • Незакрытые:
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32 | Skype

Профиль

Назад к списку новостей

Trojan.Mayachok.18831 — подробности об угрозе

25 августа 2014 года

Компания «Доктор Веб» представляет технические подробности о новом представителе семейства вредоносных программ Trojan.Mayachok, получившем наименование Trojan.Mayachok.18831.

Trojan.Mayachok.18831 — вредоносная программа, распространяемая преимущественно в массовых почтовых рассылках. Как и другие представители данного семейства, Trojan.Mayachok.18831 предназначен для встраивания постороннего содержимого в просматриваемые пользователем веб-страницы с применением технологии веб-инжектов, однако в отличие от своих предшественников Trojan.Mayachok.18831 обладает возможностью демонстрации поверх просматриваемого жертвой веб-сайта рекламных баннеров, подмена содержимого страниц социальных сетей — лишь одна из его функций. Помимо прочего, троянец способен сохранять и отправлять злоумышленникам снимки экрана зараженного компьютера.

После запуска на инфицированной машине троянец проверяет наличие своей работающей копии, при обнаружении которой прекращает действовать в системе. Проверяет наличие запущенных процессов популярных антивирусных программ и виртуальных машин: cpf.exe, MsMpEng.exe, msseces.exe, avp.exe, dwengine.exe, ekrn.exe, AvastSvc.exe, avgnt.exe, avgrsx.exe, ccsvchst.exe, Mcshield.exe, bdagent.exe, uiSeAgnt.exe, vmtoolsd.exe, vmacthlp.exe, vpcmap.exe, vmsrvc.exe, vmusrvc.exe, VBoxService.exe.

Для получения папки текущего пользователя троянец обращается к ветви системного реестра HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, пытается прочитать из папки пользователя ранее созданный им конфигурационный файл, а если это не удается, извлекает конфигурационные данные из собственного тела. Троянец способен загружать из Интернета и запускать другие вредоносные приложения — в исследованном специалистами компании «Доктор Веб» образце в качестве таковой выступает Trojan.LoadMoney.15.

Trojan.Mayachok.18831 генерирует второй конфигурационный файл, в котором содержится собранная на зараженном компьютере информация, — данные шифруются TEA-подобным алгоритмом, кодируются в Base64 и отправляется на сервер POST-запросом. Соединение с командным сервером устанавливается либо при помощи функций socket() и connect(), либо с использованием функций библиотеки wininet.dll. Идентификатор инфицированного компьютера составляется из строки-идентификатора первого диска и MAC-адреса сетевой карты. От этой строки троянец вычисляет значение MD5 с использованием функций Windows CryptoAPI. Полученное значение в виде HEX-строки впоследствии используется троянцем в качестве уникального идентификатора.

В 32-разрядных ОС троянец запускает процесс explorer.exe и при помощи функции NtQueueApcThread встраивается в него. Выполняемый в контексте explorer.exe код удаляет файл троянца, после чего начинает перебирать запущенные процессы. Trojan.Mayachok.18831 ищет процессы с именами amigo.exe, explorer.exe, iexplore.exe, chrome.exe, firefox.exe, opera.exe, browser.exe, minerd.exe. Для каждого такого процесса запускается код инжекта, внутри которого происходит проверка имени процесса. Если троянец встроился в explorer.exe, запускаются три треда с потоками полезной нагрузки, в случае с другими процессами запускается процедура перехвата API.

В 64-разрядных ОС троянец проверяет путь, по которому расположен его исполняемый файл. Если троянец запущен из файла %MYDOCUMENTS%\CommonData\winhlp31.exe, Trojan.Mayachok.18831 запускает три потока с кодом полезной нагрузки. Один из потоков устанавливает троянца в систему и регистрирует его в автозагрузке. Второй поток ожидает установки флага самоудаления, и в случае установки такого флага удаляет троянца. Третий поток удаляет файлы cookies различных браузеров при помощи функций библиотеки sqlite3.dll и запрашивает с управляющих серверов конфигурационные данные. Троянец перехватывает как WinAPI, так и специфичные для браузеров функции для добавления в страницы постороннего содержимого методом веб-инжектов.

Основное назначение Trojan.Mayachok.18831 — демонстрация в браузере рекламы поверх просматриваемых пользователем веб-страниц:

screen

Помимо этого троянец способен подменять содержимое анкеты пользователя в социальных сетях, размещая в профиле пользователя изображения и тексты непристойного содержания. При попытке отредактировать содержимое профиля троянец предлагает оплатить эту услугу путем регистрации платной подписки:

screen

Также троянец вносит изменения в форму оформления платной подписки, сгенерированную сайтом оператора мобильной связи, с целью скрыть от пользователя значимую информацию:

screen

screen

После заполнения данной формы на мобильный телефон жертвы приходит СМС со следующим текстом:

Введите код **** для подключения подписки "http://onlinesoftzone.org". Стоимость 20,00 руб. с НДС за 1 день

Для предотвращения заражения вашего компьютера вредоносной программой Trojan.Mayachok.18831 используйте современное антивирусное программное обеспечение и не запускайте приложения, полученные в качестве вложения в сомнительных сообщениях электронной почты.

Новость об угрозе

Нам важно Ваше мнение

Комментарии размещаются после проверки модератором. За каждый содержательный комментарий начисляется 1 Dr.Web-ка. Чтобы задать вопрос по новости администрации сайта, укажите в начале своего комментария @admin. Если ваш вопрос к автору одного из комментариев — поставьте перед его именем @


Другие комментарии

Российский разработчик антивирусов Dr.Web

Опыт разработки с 1992 года

Dr.Web пользуются в 200+ странах мира

Dr.Web в Реестре Отечественного ПО

Поставка антивируса как услуги с 2007 года

Круглосуточная поддержка на русском языке

© «Доктор Веб»
2003 — 2017

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125040, Россия, Москва, 3-я улица Ямского поля, вл.2, корп.12А