Хакеры выпустили новую версию самого распространенного троянца в Рунете

CyberSecurity.ru

В интернете выявлена новая и крайне оригинальная версия вредоносной программы Trojan.Mayachok. Троянцы этого семейства уже насчитывают порядка 1500 различных модификаций, причем некоторые из них являются самыми распространенными на компьютерах пользователей по статистике Dr.Web. Trojan.Mayachok.18607 позволяет встраивать в просматриваемые пользователями веб-страницы постороннее содержимое, благодаря чему злоумышленники получают возможность зарабатывать на жертвах этой вредоносной программы, подписывая их на различные платные услуги.

Как сообщили в антивирусной компании «Доктор Веб», в процессе изучения архитектуры троянца Trojan.Mayachok.18607 сложилось впечатление, что автор попытался переписать код этой вредоносной программы «с чистого листа», опираясь на логику семейства Trojan.Mayachok. То есть, не исключено, что у популярных среди злоумышленников троянцев семейства Trojan.Mayachok появился новый автор.

Trojan.Mayachok.18607 способен инфицировать как 32-разрядные, так и 64-разрядные версии ОС Windows. В момент запуска троянец вычисляет уникальный идентификатор зараженной машины, для чего собирает информацию об оборудовании, имени компьютера и имени пользователя, после чего создает свою копию в папке MyApplicationData. Затем троянец модифицирует системный реестр с целью обеспечения автоматического запуска собственной копии. В 32-разрядных версиях Windows Trojan.Mayachok.18607 встраивается в предварительно запущенный процесс explorer.exe, после чего пытается встроиться в другие процессы. В архитектуре вредоносной программы предусмотрен механизм восстановления целостности троянца в случае его удаления или повреждения.

В 64-разрядных версиях Windows троянец действует несколько иначе: Trojan.Mayachok.18607 видоизменяет ветвь системного реестра, отвечающую за автоматическую загрузку приложений, запускает свой исполняемый файл и еще одну копию самого себя, после чего удаляет файл дроппера. Троянец периодически проверяет наличие двух своих копий в памяти инфицированного компьютера, а также соответствующих записей в реестре.

В момент запуска Trojan.Mayachok.18607 определяет наличие на инфицированном компьютере антивирусных программ, проверяя имена активных процессов, а также пытается определить, не запущен ли он в виртуальной среде. Завершив установку в инфицированной системе, Trojan.Mayachok.18607 пытается встроиться во все процессы Windows, в том числе, в процессы вновь запускаемых браузеров. Затем троянец сохраняет в одну из папок собственный конфигурационный файл. После этого Trojan.Mayachok.18607 устанавливает соединение с управляющим сервером и отправляет злоумышленникам информацию об инфицированном компьютере. Кроме конфигурационных данных ответ удаленного сервера может содержать команду на загрузку исполняемого файла. После загрузки Trojan.Mayachok.18607 запускает этот файл. Помимо прочего, конфигурационный файл содержит скрипт, который троянец встраивает во все просматриваемые пользователем веб-страницы.

Основное предназначение Trojan.Mayachok.18607 заключается в осуществлении так называемых веб-инжектов: при открытии различных веб-страниц вредоносная программа встраивает в них постороннее содержимое. Под угрозой находятся браузеры Google Chrome, Mozilla Firefox, Opera и Microsoft Internet Explorer нескольких версий, включая последние. Пользователь зараженной машины при открытии некоторых популярных интернет-ресурсов может увидеть в окне обозревателя оригинальную веб-страницу, в которую троянец встраивает постороннее содержимое. Например, на сайте социальной сети «ВКонтакте» пользователю может быть продемонстрировано сообщение:

На вашу страницу в течение 24 часов было сделано более 10 неудачных попыток авторизации (вы или кто-то другой ввели неверный пароль 12 раз). Аккаунт временно заблокирован для предотвращения взлома. Чтобы подтвердить, что Вы действительно являетесь владельцем страницы, пожалуйста, укажите номер вашего мобильного телефона, к которому привязана страница. Если ранее страница не была привязана к номеру Вашего мобильного телефона, то она будет привязана к номеру, который вы введете ниже.