Новая модификация Trojan.Mayachok еще лучше маскируется от пользователя

Появилась новая опасная модификация вредоносной программы Trojan.Mayachok. В новой версии троянца, получившей наименование Trojan.Mayachok.17727, был значительно видоизменен код, а главное, используются решения, направленные на обеспечение еще большей незаметности троянца для пользователя. Так, дроппер Trojan.Mayachok.17727 не перезагружает компьютер в процессе заражения, а сам момент установки остается абсолютно незаметным для жертвы.

Троянская программа состоит из двух компонентов: дроппера и динамической библиотеки, в которой реализована основная вредоносная функциональность троянца. Дроппер создает в директории %MYDOCUMENTS% папку с именем IntMayak, в которую временно сохраняет троянскую библиотеку, и REG-файл, предназначенный для регистрации библиотеки в системе. Затем дроппер ищет в памяти ПК запущенный процесс explorer.exe и внедряет в него вредоносный код. С использованием данного кода, уже от имени процесса explorer.exe, троянец сохраняет в системную директорию %SYSTEM32% копию вредоносной библиотеки. С помощью редактора реестра Trojan.Mayachok.17727 импортирует REG-файл, модифицируя ветвь реестра, отвечающую за загрузку вредоносной библиотеки во все процессы. Затем дроппер удаляет временные файлы и саму папку IntMayak, а также с целью сокрытия способа своего проникновения в систему уничтожает файлы cookies и очищает кеш браузера Microsoft Internet Explorer.

Вредоносная библиотека работает с браузерами Microsoft Internet Explorer, Opera, Mozilla Firefox, Google Chrome. В процессе работы Trojan.Mayachok.17727 записывает на диск зашифрованный конфигурационный файл, в котором хранит список управляющих серверов, внедряемый в просматриваемые пользователем веб-страницы скрипт и другие параметры.

По сравнению с Trojan.Mayachok.1, в код троянца были внесены существенные изменения: исчезла проверка на наличие в инфицируемой системе средств виртуализации, изменено число поддерживаемых процессов, а также механизм сравнения их имен, отсутствует функция проверки конфигурационного файла на целостность. Стоит напомнить, что Trojan.Mayachok стал одним из первых троянцев, использующих технику заражения VBR (Volume Boot Record): эта техника, как оказалось впоследствии, не была разработана создателями данной угрозы, а приобреталась ими у других вирусописателей. Например, аналогичный код был обнаружен в банковском троянце Trojan.Carberp.


Сергей и Марина Бондаренко, 3DNews





Интересные новости
Українська IT-компанія MacPaw звільнює п’яту частину співробітниківУкраїнська IT-компанія MacPaw звільнює п’яту частину співробітників
Блок рекламы


Похожие новости

Уязвимость браузера Safari может привести к утечке данных и раскрытию личности пользователяУязвимость браузера Safari может привести к утечке данных и раскрытию личности пользователя
Apple выпустила macOS Monterey с обновлёнными FaceTime и Safari, и другими улучшениями
Браузер Microsoft Edge 94 получит улучшенные «спящие» вкладки и другие функции
Microsoft выпустила новую предварительную сборку Windows 11 с улучшениями и массой исправлений
Энтузиаст выпустил собственную версию звукового редактора Audacity без «жучков» для слежки за пользователями
Apple представила iPadOS 15 со значительными улучшениями по части интерфейса и многозадачности
Баг или фича? Новая версия браузера Edge настойчиво предлагает использовать поисковик Bing
Обновлённый Google Chrome 88 получил улучшенный тёмный режим, но лишился поддержки FTP и Flash
Вышел браузер Mozilla Firefox 83 с большими улучшениями движка JavaScript
Microsoft "сломает" интернет пользователям Internet Explorer
Последние новости

Подгружаем последние новости