Trojan.Mayachok.1 - троян ворующий средства со счетов клиентов мобильных операторов


Trojan.Mayachok.1 - троян ворующий средства со счетов клиентов мобильных операторов, предлагая пользователям ответить на входящее СМС-сообщение.

Trojan.Mayachok.1 также может блокировать доступ в интернет с подменой сайтов. Примеры блокировки:

  • На прошедшей неделе пользователи неожиданно столкнулись с невозможностью выйти в Интернет. Вместо запрашиваемых ими сайтов в окне браузера демонстрировалось сообщение: "Канал вашего района перегружен, и мы вынуждены ограничить загрузку некоторых сайтов на время, пока канал не будет разгружен. Если работа в сети Интернет на текущий момент для вас критична, вы можете подключить резервный канал вашего района. Чтобы подтвердить намерение и крайнюю необходимость перейти на резервный канал, ответьте на входящее СМС-сообщение". Следуя указаниям злоумышленников, пользователи вводили свой телефонный номер в соответствующую форму, а затем отвечал на входящее СМС, после чего с его счета незамедлительно списывались средства.

Также были зафиксированы случаи блокировки доступа в Интернет с подменой сайта "Ростелеком", youtube.com, vkontakte.ru, odnoklassniki.ru, rostelecom.ru, support.akado.ru, my.mail.ru. Во всех случаях при попытке открыть в браузере какой-либо сайт Trojan.Mayachok.1 перенаправляет пользователя на заранее определенный URL, демонстрируя в окне браузера веб-страницу, предлагающую "активировать" или "подтвердить" аккаунт, указав свой номер телефона и ответив на входящее СМС-сообщение.

help_mail.1 help_vkontakte.1 odnoklassniki.1 youtube.1


Методы распространения
Один из методов распространения данной вредоносной программы — рассылка в социальной сети "Вконтакте", рекламирующая программу для просмотра посещающих страницу пользователя гостей. В описании этой программы имеется ссылка, по которой и загружается Trojan.Mayachok.1.

Запустившись на инфицированном компьютере, троян создает в папке system32 библиотеку с именем, сгенерированным на основе серийного номера текущего раздела жесткого диска, затем копирует себя во временную папку под именем

  • flash_player_update.exe

и начинает запускать этот файл с периодичностью в 10 секунд. Затем троян вносит изменения в системный реестр Windows и перезагружает компьютер. После этого Trojan.Mayachok.1 сохраняет в папку

  • C:\Documents and Settings\All Users\Application Data\cf

собственный конфигурационный файл, содержащий перечень блокируемых сайтов, адреса управляющих серверов и скрипты, которые встраиваются в запрашиваемые пользователем веб-страницы.

Жертвам данного троянца рекомендуется воспользоваться средством аварийного восстановления системы Dr.Web LiveCD или лечащей утилитой Dr.Web CureIt!