Trojan.Mayachok.18607 - новая версия самого распространенного трояна Рунета


Trojan.Mayachok.18607 - троян, способный инфицировать как 32-разрядные, так и 64-разрядные версии ОС Windows, после чего при открытии различных веб-страниц на зараженном компьютере, вредоносная программа встраивает в них постороннее содержимое.

После запуска на инфицированном компьютере троян выполняет следующие действия:

  • вычисляет уникальный идентификатор зараженной машины;
  • собирает информацию об оборудовании;
  • определяет имя компьютера и имя пользователя,

после чего создает свою копию в папке

  • MyApplicationData


Для автоматического запуска собственной копии после перезагрузки системы троян модифицирует системный реестр. Далее, если Trojan.Mayachok.18607 определяет систему как 32-разрядную версию Windows, то тогда он встраивается в предварительно запущенный процесс explorer.exe, а в дальнейшем и в другие процессы. В архитектуре вредоносной программы предусмотрен механизм восстановления целостности трояна в случае его удаления или повреждения.

Если троян выявил использование 64-разрядной версии Windows, то его действия несколько другие. Сначала Trojan.Mayachok.18607 изменяет ветвь системного реестра, отвечающую за автоматическую загрузку приложений, потом запускает свой исполняемый файл и еще одну копию самого себя, а затем удаляет файл дроппера. Троян периодически проверяет наличие двух своих копий в памяти инфицированного компьютера, а также соответствующих записей в реестре.

В момент запуска вредонос определяет:

  • наличие антивирусных программ на инфицированном компьютере;
  • имена активных процессов;
  • не запущен ли он в виртуальной среде.


По окончании установки, Trojan.Mayachok.18607 пытается встроиться во все процессы Windows, в том числе, в процессы вновь запускаемых браузеров. Затем троян сохраняет в одну из папок собственный конфигурационный файл, после чего устанавливает соединение с управляющим сервером и отправляет злоумышленникам информацию об инфицированном компьютере. Ответ удаленного сервера может содержать конфигурационный файл, а также команду на загрузку исполняемого файла. После загрузки Trojan.Mayachok.18607 запускает этот файл. Конфигурационный файл содержит скрипт, который троян встраивает во все просматриваемые пользователем веб-страницы.

Основное предназначение Trojan.Mayachok.18607 – осуществление так называемых веб-инжектов. Т.е., при открытии различных веб-страниц, вредоносная программа встраивает в них постороннее содержимое. Под угрозой находятся браузеры:

  • Google Chrome;
  • Mozilla Firefox;
  • Opera;
  • Microsoft Internet Explorer.


При открытии некоторых популярных интернет-ресурсов пользователь зараженной машины может увидеть в окне обозревателя оригинальную веб-страницу, однако, уже со встроенным посторонним содержимым.


Пример сообщения на сайте социальной сети "ВКонтакте", отображаемого на зараженном компьютере

На вашу страницу в течение 24 часов было сделано более 10 неудачных попыток авторизации (вы или кто-то другой ввели неверный пароль 12 раз). Аккаунт временно заблокирован для предотвращения взлома. Чтобы подтвердить, что Вы действительно являетесь владельцем страницы, пожалуйста, укажите номер вашего мобильного телефона, к которому привязана страница. Если ранее страница не была привязана к номеру Вашего мобильного телефона, то она будет привязана к номеру, который вы введете ниже.

Vk zablokirovan Mayachok 18607

Trojan.Mayachok.18607 не модифицирует системный файл hosts. Троян имеет богатый арсенал поддельных веб-страниц различных интернет-ресурсов. Например, пользователи социальной сети "Одноклассники" могут увидеть сообщение следующего содержания:

Вы пытаетесь зайти из необычного места. Если вы пытаетесь войти из привычного места, возможно, провайдер сменил ваш IP.

Введя номер мобильного телефона, пользователь тем самым подписывается на услуги веб-сайта

  • http://vkmediaget.com

стоимость подписки которого, составляет 20 рублей в сутки. Услуга, на которую подписывается пользователь, предоставляется совместно с компанией ЗАО "Контент-провайдер Первый Альтернативный". Также в качестве другого метода монетизации злоумышленники используют так называемые "псевдоподписки". Например, с номера 6681 жертве приходит СМС с текстом "Для подтверждения ответьте DA на эту SMS. Поддержка 7hlp.com или 88001007337(бесплатно)". Стоимость ответного сообщения составляет 304.79 руб.

На том же IP-адресе, где располагается сайт vkmediaget.com, платные услуги которого монетизирует троян Trojan.Mayachok.18607, располагаются и другие интернет-ресурсы, например, odmediaget.com (для пользователей соцсети odnoklassniki.ru) — имена и оформление таких веб-страниц специально подобраны с целью ввести пользователей в заблуждение. Еще на данном сервере расположен сайт mediadostupno.com, якобы предоставляющий услуги анонимайзера. Как и во множестве аналогичных, сайт используется в качестве прикрытия для одобрения предоставляемой подписки со стороны контент-провайдера и подключения мобильных платежей.

Для устранения Trojan.Mayachok.18607, необходимо просканировать зараженный компьютер с помощью бесплатной лечащей утилиты Dr.Web CureIt!