Вы используете устаревший браузер!

Страница может отображаться некорректно.

Бесплатно демо
Dr.Web для Android
Скачать

Защити созданное

Другие наши ресурсы

  • free.drweb.ru — бесплатные утилиты, плагины, информеры
  • av-desk.com — интернет-сервис для поставщиков услуг Dr.Web AV-Desk
  • curenet.drweb.ru — сетевая лечащая утилита Dr.Web CureNet!
Закрыть

Библиотека
Моя библиотека

+ Добавить в библиотеку

Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

Форум

Ваши запросы

  • Все:
  • Незакрытые:
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32 | Skype

Профиль

Назад к списку новостей

«Доктор Веб» предупреждает о новой модификации Trojan.Mayachok

27 сентября 2012 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает о появлении новой опасной модификации вредоносной программы Trojan.Mayachok, сигнатура которой добавлена в вирусные базы Dr.Web под именем Trojan.Mayachok.17727.

С начала сентября специалистами компании «Доктор Веб» зафиксировано значительное снижение числа заражений Trojan.Mayachok.1, до конца августа уверенно лидировавшего в списке наиболее распространенных угроз. Сокращение случаев инфицирования весьма значительно: по сравнению с показателями второй половины августа, общее количество инфицированных ПК сократилось на 31%. Динамика этого процесса показана на представленном ниже графике.

graph

Подобное изменение динамики аналитики «Доктор Веб» связывают с появлением новой модификации Trojan.Mayachok, которая, судя по всему, пришла на смену первой. В новой версии троянца, получившей наименование Trojan.Mayachok.17727, был значительно видоизменен код, а главное, используются решения, направленные на обеспечение еще большей незаметности троянца для пользователя. Так, дроппер Trojan.Mayachok.17727 не перезагружает компьютер в процессе заражения, а сам момент установки остается абсолютно незаметным для жертвы.

Троянская программа состоит из двух компонентов: дроппера и динамической библиотеки, в которой реализован основной вредоносный функционал троянца. Дроппер создает в директории %MYDOCUMENTS% папку с именем IntMayak, в которую временно сохраняет троянскую библиотеку и REG-файл, предназначенный для регистрации библиотеки в системе. Затем дроппер ищет в памяти ПК запущенный процесс explorer.exe и внедряет в него вредоносный код. С использованием данного кода, уже от имени процесса explorer.exe, троянец сохраняет в системную директорию %SYSTEM32% копию вредоносной библиотеки. С помощью редактора реестра Trojan.Mayachok.17727 импортирует REG-файл, модифицируя ветвь реестра, отвечающую за загрузку вредоносной библиотеки во все процессы. Затем дроппер удаляет временные файлы и саму папку IntMayak, а также с целью сокрытия способа своего проникновения в систему уничтожает файлы cookies и очищает кеш браузера Microsoft Internet Explorer.

Вредоносная библиотека работает с браузерами Microsoft Internet Explorer, Opera, Mozilla Firefox, Google Chrome. В процессе работы Trojan.Mayachok.17727 записывает на диск зашифрованный конфигурационный файл, в котором хранит список управляющих серверов, внедряемый в просматриваемые пользователем веб-страницы скрипт и другие параметры.

В отличие от Trojan.Mayachok.1, в код троянца были внесены существенные изменения: исчезла проверка на наличие в инфицируемой системе средств виртуализации, изменено число поддерживаемых процессов, а также механизм сравнения их имен, отсутствует функция проверки конфигурационного файла на целостность. Стоит напомнить, что Trojan.Mayachok стал одним из первых троянцев, использующих технику заражения VBR (Volume Boot Record): эта техника, как оказалось впоследствии, не была разработана создателями данной угрозы, а приобреталась ими у других вирусописателей. Например, аналогичный код был обнаружен в банковском троянце Trojan.Carberp.

Нам важно Ваше мнение

Комментарии размещаются после проверки модератором. За каждый содержательный комментарий начисляется 1 Dr.Web-ка. Чтобы задать вопрос по новости администрации сайта, укажите в начале своего комментария @admin. Если ваш вопрос к автору одного из комментариев — поставьте перед его именем @


Другие комментарии

Российский разработчик антивирусов Dr.Web

Опыт разработки с 1992 года

Dr.Web пользуются в 200+ странах мира

Dr.Web в Реестре Отечественного ПО

Поставка антивируса как услуги с 2007 года

Круглосуточная поддержка на русском языке

© «Доктор Веб»
2003 — 2017

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125040, Россия, Москва, 3-я улица Ямского поля, вл.2, корп.12А