Stfw.Ru«Доктор Веб» предупреждает о новой модификации Trojan.Mayachok
🕛 29.09.2012, 06:31
Новая версия Trojan.Mayachok получила дополнительные возможности скрытия своего присутствия на системе. Антивирусный производитель компания «Доктор Веб» сообщила о появлении новой модификации вредоносной программы Trojan.Mayachok.
С начала этого месяца эксперты «Доктор Веб» фиксируют значительное снижение числа заражений Trojan.Mayachok.1, который до этого возглавлял перечни самых распространенных угроз. Сокращение обнаружений является довольно значительным – по сравнению только со второй половиной августа количество инфицируемых систем сократилось на 31%.
Данное изменение динамики сотрудники «Доктор Веб» связывают в первую очередь с появлением новой версии вредоносной программы. Так, в новый Trojan.Mayachok были добавлены дополнительные инструменты для обеспечения незаметности деятельности трояна на системе. Вредоносная программа не перезагружает систему пользователя при заражении, а его установка остается незаметной для жертвы.
Состоит вирус из двух основных модулей – дроппера и динамической библиотеки. Дроппер при инфицировании системы создает в каталоге %MYDOCUMENTS% папку с именем IntMayak, а затем временно сохраняет в нее библиотеку и файл реестра. После этого модуль дроппера ищет процесс explorer.exe и внедряет в него свой код. Получив привилегии explorer.exe дроппер копирует в директорию system32 библиотеку и вносит изменения в реестр системы. Последней функцией дроппера является скрытие следов инфицирования и процесса установки: с системы удаляется explorer.exe, а в браузере Microsoft Internet Explorer удаляется кеш и cookie-файлы.
В ходе работы трояна на диске жертвы создается зашифрованный конфигурационный файл, в который записывается список C&C серверов, внедряемый в просматриваемые жертвой web-страницы сценарий и другие параметры.
Новая версия Trojan.Mayachok не проверяет систему на наличие средств виртуализации, в ней изменено количество поддерживаемых процессов, механизм сравнения имен, также отсутствует функция проверки целостности конфигурационного файла.