Компания «Доктор Веб» обнаружила новую модификацию троянской программы семейства Trojan.Mayachok - Trojan.Mayachok.17516. Несмотря на то, что эта угроза имеет определенное сходство с широко распространенным трояном Trojan.Mayachok.1, в ее архитектуре выявлен и ряд существенных отличий. Trojan.Mayachok.17516 представляет собой динамическую библиотеку, внедряемую в операционную систему с использованием установщика, который расшифровывает и копирует эту библиотеку на диск. Если в операционной системе включена функция контроля учетных записей пользователей (User Accounts Control, UAC), инсталлятор копирует себя во временную папку под именем "flash_player_update_1_12.exe" и запускается на исполнение. В случае успешного запуска этот исполняемый файл расшифровывает содержащую трояна библиотеку и сохраняет ее в одну из системных папок со случайным именем. Существуют версии библиотеки как для 32-разрядной, так и для 64-разрядной версий Windows. Затем установщик регистрирует библиотеку в системном реестре и перезагружает компьютер. Вредоносная библиотека пытается внедриться в другие процессы с использованием регистрации в параметре реестра "AppInit_DLLs", при этом, в отличие от Trojan.Mayachok.1, Trojan.Mayachok.17516 «умеет» работать не только в контексте процессов веб-браузеров, но также в процессах "svchost.exe" и "explorer.exe". Примечательно, что в 64-разрядных системах вредоносная программа работает только в этих двух процессах. Троян использует для своей работы зашифрованный конфигурационный файл, который он сохраняет либо во временную папку, либо в служебную папку "%appdata%". Основные функции Trojan.Mayachok.17516 заключаются в скачивании и запуске исполняемых файлов, перехвате активности веб-браузеров. С использованием процесса "explorer.exe" Trojan.Mayachok.17516 осуществляет скрытый запуск браузеров и производит «накрутку» посещаемости некоторых интернет-ресурсов. Инфицированный процесс "svchost.exe" отвечает за обеспечение связи с удаленным командным сервером, а также за загрузку конфигурационных файлов и обновлений. Злоумышленникам, в свою очередь, передается информация о зараженном компьютере, в том числе версия операционной системы, сведения об установленных браузерах и т. д. Данный зловред успешно детектируется большинством антивирусных систем. Антивирусные специалисты не рекомендуют использовать для установки программ дистрибутивы, полученные из неофициальных источников.
Источник