Компания «Доктор Веб» обнаружила новую модификацию троянской программы семейства Trojan.Mayachok - Trojan.Mayachok.17516. Несмотря на то, что эта угроза имеет определенное сходство с широко распространенным трояном Trojan.Mayachok.1, в ее архитектуре выявлен и ряд существенных отличий. Trojan.Mayachok.17516 представляет собой динамическую библиотеку, внедряемую в операционную систему с использованием установщика, который расшифровывает и копирует эту библиотеку на диск. Если в операционной системе включена функция контроля учетных записей пользователей (User Accounts Control, UAC), инсталлятор копирует себя во временную папку под именем "flash_player_update_1_12.exe" и запускается на исполнение.
В случае успешного запуска этот исполняемый файл расшифровывает содержащую трояна библиотеку и сохраняет ее в одну из системных папок со случайным именем. Существуют версии библиотеки как для 32-разрядной, так и для 64-разрядной версий Windows. Затем установщик регистрирует библиотеку в системном реестре и перезагружает компьютер. Вредоносная библиотека пытается внедриться в другие процессы с использованием регистрации в параметре реестра "AppInit_DLLs", при этом, в отличие от Trojan.Mayachok.1, Trojan.Mayachok.17516 «умеет» работать не только в контексте процессов веб-браузеров, но также в процессах "svchost.exe" и "explorer.exe".
Примечательно, что в 64-разрядных системах вредоносная программа работает только в этих двух процессах. Троян использует для своей работы зашифрованный конфигурационный файл, который он сохраняет либо во временную папку, либо в служебную папку "%appdata%". Основные функции Trojan.Mayachok.17516 заключаются в скачивании и запуске исполняемых файлов, перехвате активности веб-браузеров. С использованием процесса "explorer.exe" Trojan.Mayachok.17516 осуществляет скрытый запуск браузеров и производит «накрутку» посещаемости некоторых интернет-ресурсов. Инфицированный процесс "svchost.exe" отвечает за обеспечение связи с удаленным командным сервером, а также за загрузку конфигурационных файлов и обновлений.
Злоумышленникам, в свою очередь, передается информация о зараженном компьютере, в том числе версия операционной системы, сведения об установленных браузерах и т. д. Данный зловред успешно детектируется большинством антивирусных систем. Антивирусные специалисты не рекомендуют использовать для установки программ дистрибутивы, полученные из неофициальных источников.
Друзья: Всё для вебмастера | [ Реклама на форуме ] |
0
Обнаружена новая модификация Trojan.Mayachok
Автор
$iD
, 29 Aug 2012 16:52
#1
Отправлено 29 August 2012 - 16:52
Количество пользователей, читающих эту тему: 0
0 пользователей, 0 гостей, 0 анонимных