Trojan.Mayachok.17516 или новая модификация трояна семейства Trojan.Mayachok


Trojan.Mayachok.17516 - новая модификация троянской программы семейства Trojan.Mayachok.

Trojan.Mayachok.17516 - представляет собой динамическую библиотеку, устанавливаемую в операционную систему с использованием дроппера, который, являясь исполняемым файлом, в общем случае расшифровывает и копирует эту библиотеку на диск. При включенной в операционной системе функции контроля учетных записей пользователей (User Accounts Control, UAC), дроппер копирует себя во временную папку под именем

  • flash_player_update_1_12.exe

и запускается на исполнение.

User Account Control

В случае успешного запуска этот исполняемый файл расшифровывает содержащую трояна библиотеку и сохраняет ее в одну из системных папок со случайным именем. Существуют версии библиотеки как для 32-разрядной, так и для 64-разрядной версий Windows. Затем дроппер регистрирует библиотеку в системном реестре и перезагружает компьютер.

Вредоносная библиотека пытается встроиться в другие процессы с использованием регистрации в параметре реестра

  • AppInit_DLLs

при этом, в отличие от Trojan.Mayachok.1, Trojan.Mayachok.17516 способен работать не только в контексте процессов браузеров, но также в процессах svchost.exe и explorer.exe (Проводник Windows). В 64-разрядных системах вредоносная программа работает только в этих двух процессах. Троян использует для своей работы зашифрованный конфигурационный файл, сохраняющийся либо во временную папку, либо в служебную папку

  • %appdata%


Основные функции Trojan.Mayachok.17516:

  • скачивание и запуск исполняемых файлов;
  • перехват сетевых функций браузеров.


С использованием процесса

  • explorer.exe


Trojan.Mayachok.17516 осуществляет скрытый запуск браузеров и производит "накрутку" посещаемости некоторых интернет-ресурсов. Инфицированный процесс

  • svchost.exe

отвечает за обеспечение связи с удаленным командным сервером, а также за загрузку конфигурационных файлов и обновлений. Злоумышленникам, в свою очередь, передается информация о зараженном компьютере, в том числе версия операционной системы, сведения об установленных браузерах и т. д.