Trojan.Mayachok.18831 — новые возможности


Trojan.Mayachok.18831 — вредоносная программа, которая предназначена для встраивания постороннего содержимого в просматриваемые пользователем веб-страницы с применением технологии веб-инжектов. Также вредонос обладает возможностью демонстрации поверх просматриваемого жертвой веб-сайта рекламных баннеров, а подмена содержимого страниц социальных сетей — это лишь одна из его функций. Кроме этого троян способен сохранять и отправлять злоумышленникам снимки экрана зараженного компьютера. Распространяется Trojan.Mayachok преимущественно в массовых почтовых рассылках.

После того, как троян попал на машину и запустился, его первоочередная задача - это проверка наличия своей работающей копии на зараженном компьютере. Если таковая обнаруживается, то вредонос прекращает действовать в зараженной системе. Кроме этого Trojan.Mayachok.18831 проверяет наличие запущенных процессов популярных антивирусных программ и виртуальных машин:

  • cpf.exe, MsMpEng.exe, msseces.exe, avp.exe, dwengine.exe, ekrn.exe, AvastSvc.exe, avgnt.exe, avgrsx.exe, ccsvchst.exe, Mcshield.exe, bdagent.exe, uiSeAgnt.exe, vmtoolsd.exe, vmacthlp.exe, vpcmap.exe, vmsrvc.exe, vmusrvc.exe, VBoxService.exe.


С целью получить папки текущего пользователя, трояну приходится обращаться к ветви системного реестра

  • HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders


Из этой папки вредоносное ПО пытается прочитать ранее созданный им конфигурационный файл, и если это не удается, то извлекает конфигурационные данные из собственного тела.

Одна из способностей трояна - это возможность загружать из Интернета, а впоследствии и запускать другие вредоносные приложения - в частности трояна Trojan.LoadMoney.15.

Trojan.Mayachok.18831 генерирует второй конфигурационный файл, который содержит собранную с зараженного компьютера информацию. При этом все собранные данные шифруются TEA-подобным алгоритмом, кодируются в Base64 и отправляется на сервер POST-запросом. Само соединение с командным сервером устанавливается либо при помощи функций socket() и connect(), либо с использованием функций библиотеки wininet.dll. Идентификатор инфицированного компьютера составляется из строки-идентификатора первого диска и MAC-адреса сетевой карты. От этой строки троян вычисляет значение MD5 с использованием функций Windows CryptoAPI. Полученное в результате вычисления значение в виде HEX-строки впоследствии используется вредоносом в качестве уникального идентификатора.

В 32-разрядных ОС Trojan.Mayachok.18831 запускает процесс explorer.exe и при помощи функции NtQueueApcThread встраивается в него. Выполняемый в контексте explorer.exe код удаляет файл трояна, а затем начинает перебирать запущенные процессы. Trojan.Mayachok.18831 ищет процессы с именами

  • amigo.exe, explorer.exe, iexplore.exe, chrome.exe, firefox.exe, opera.exe, browser.exe, minerd.exe.


Для каждого такого процесса запускается код инжекта, внутри которого происходит проверка имени процесса. Если же троян встроился в explorer.exe, то запускаются три треда с потоками полезной нагрузки. В случае с другими процессами запускается процедура перехвата API.

В 64-разрядных ОС Trojan.Mayachok.18831 проверяет путь расположения своего исполняемого файла. Если троян был запущен из файла

  • %MYDOCUMENTS%\CommonData\winhlp31.exe

то вредонос запускает три потока с кодом полезной нагрузки.

  • Один из потоков устанавливает трояна в систему и регистрирует его в автозагрузке.
  • Второй поток ожидает установки флага самоудаления, который в случае его установки удаляет трояна.
  • Третий поток удаляет файлы cookies различных браузеров при помощи функций библиотеки sqlite3.dll и запрашивает с управляющих серверов конфигурационные данные.


Вредонос перехватывает как WinAPI, так и специфичные для браузеров функции для добавления в страницы постороннего содержимого методом веб-инжектов.

Основное назначение Trojan.Mayachok.18831 — демонстрация в браузере рекламы поверх просматриваемых пользователем веб-страниц:

TrojanMayachok18831 1

Кроме этого троян способен подменять содержимое анкеты пользователя в социальных сетях, при этом размещая в профиле пользователя изображения и тексты непристойного содержания. Если со стороны пользователя будет попытка отредактировать содержимое профиля, то троян предлагает оплатить эту услугу путем регистрации платной подписки:

TrojanMayachok18831 2

Trojan.Mayachok вносит изменения в форму оформления платной подписки, которая сгенерирована сайтом оператора мобильной связи, с целью скрыть от пользователя значимую информацию:

TrojanMayachok18831 3 TrojanMayachok18831 4

После заполнения данной формы на мобильный телефон жертвы приходит СМС со следующим текстом:

  • "Введите код **** для подключения подписки "http: // onlinesoftzone . org". Стоимость 20,00 руб. с НДС за 1 день."