В Рунете появилась усовершенствованная версия трояна Mayachok

image

Теги: троян, Доктор Веб, браузер

Основной задачей трояна Mayachok является встраивание в открытые в браузере жертвы web-страницы постороннего контента.

Представители компании «Доктор Веб» обнаружили усовершенствованную версию трояна Mayachok, которая способна инфицировать как 32-битные, так и 64-битные версии ОС Windows.

«В момент запуска троянец вычисляет уникальный идентификатор зараженной машины, для чего собирает информацию об оборудовании, имени компьютера и имени пользователя, после чего создает свою копию в папке MyApplicationData. Затем троянец модифицирует системный реестр с целью обеспечения автоматического запуска собственной копии», - отмечается в отчете специалистов.

В 32-битных версиях Windows троянская программа изначально встраивается в уже запущенный на компьютере жертвы процесс explorer.exe, после чего она пытается заразить и другие процессы. Вирус наделен функцией восстановления собственной целостности, в случае его удаления или повреждения.

Что касается 64-битных версий ОС, то в них троян изменяет ветвь системного реестра, которая касается автоматической загрузки приложений, и запускает свой исполняемый файл, а также создает свою резервную копию, после чего удаляет файл дроппера. Вредоносная программа периодически проверяет память компьютера жертвы на наличие своих двух копий, а также присутствие соответствующих записей в реестре.

После запуска на компьютере пользователя троян проверяет, какие антивирусные программы запущены в ней. Успешно установившись на системе Windows, троян пытается встроится во все процессы, а также в процессы вновь запускаемых браузеров. Затем троянец сохраняет в одну из папок собственный конфигурационный файл.

Впоследствии троянская программа устанавливает связь с управляющим сервером и отправляет ему данные об инфицированном компьютере.

«Кроме конфигурационных данных ответ удаленного сервера может содержать команду на загрузку исполняемого файла. После загрузки Trojan.Mayachok.18607 запускает этот файл. Помимо прочего, конфигурационный файл содержит скрипт, который троянец встраивает во все просматриваемые пользователем веб-страницы», - отмечают в «Доктор Веб».

Основной задачей трояна Mayachok является встраивание в открытые в браузере жертвы web-страницы постороннего контента. Жертвами вредоносной программы могут стать пользователи Google Chrome, Mozilla Firefox, Opera и Microsoft Internet Explorer нескольких версий, включая последние.

Троян может публиковать на зараженных web-страницах сторонние сообщение. К примеру сообщение в соцсети «ВКонтакте» выглядит следующим образом:

Пользователя просят ввести номер мобильного телефона для якобы разблокировки его учетной записи. На самом же деле после ввода номера телефона пользователь подписывается на платные услуги web-сайта  http://vkmediaget.com.  

Подробно с отчетом «Доктор Веб» можно ознакомиться здесь.


или введите имя

CAPTCHA
Eric Cartman
19-04-2013 10:46:15
Номер -> SMS с кодом -> подтверждение на сайте -> ... -> PROFIT!!
0 |
чёрт
19-04-2013 13:06:30
ну а где советы юзерам!
0 |
Др. Вебер
20-04-2013 19:43:44
"Покупайте наших слонов !"
0 |
Компьютерный Чайник
20-04-2013 19:55:02
Статейка ниачом ! Не указано совершенно никаких конкретных фактов, ни веток реестра, ни названий файлов, ни путей, по которым "любит" селиться троянец. А вот это что должно означать: ...Вирус наделен функцией восстановления собственной целостности, в случае его удаления или повреждения... Имеется в виду, что если стереть файлы с диска, то он восстановит себя из активных копий в заражённых процессах? А если загрузиться с live-cd и почистить диск, а после перезагрузки в систему и реестр зачистить. Никак не удаётся отделаться от ощущения, что Dr.Web пугает меня общими фразами и намекает на срочную покупку своего изделия. Может быть достаточно и бесплатного антивируса от Майкрософта, как он у них там называется, Security Essentials кажется.
0 |
V
22-04-2013 11:58:10
Для более подробной информации просто стоит пройти по ссылке в конце текста: Подробно с отчетом «Доктор Веб» можно ознакомитьсяздесь Подробнее:http://www.securitylab.ru/news/439574.php И у них уже увидеть детали.
0 |