Новости Software

Новая модификация Trojan.Mayachok еще лучше маскируется от пользователя

Появилась новая опасная модификация вредоносной программы Trojan.Mayachok. В новой версии троянца, получившей наименование Trojan.Mayachok.17727, был значительно видоизменен код, а главное, используются решения, направленные на обеспечение еще большей незаметности троянца для пользователя. Так, дроппер Trojan.Mayachok.17727 не перезагружает компьютер в процессе заражения, а сам момент установки остается абсолютно незаметным для жертвы.

Троянская программа состоит из двух компонентов: дроппера и динамической библиотеки, в которой реализована основная вредоносная функциональность троянца. Дроппер создает в директории %MYDOCUMENTS% папку с именем IntMayak, в которую временно сохраняет троянскую библиотеку, и REG-файл, предназначенный для регистрации библиотеки в системе. Затем дроппер ищет в памяти ПК запущенный процесс explorer.exe и внедряет в него вредоносный код. С использованием данного кода, уже от имени процесса explorer.exe, троянец сохраняет в системную директорию %SYSTEM32% копию вредоносной библиотеки. С помощью редактора реестра Trojan.Mayachok.17727 импортирует REG-файл, модифицируя ветвь реестра, отвечающую за загрузку вредоносной библиотеки во все процессы. Затем дроппер удаляет временные файлы и саму папку IntMayak, а также с целью сокрытия способа своего проникновения в систему уничтожает файлы cookies и очищает кеш браузера Microsoft Internet Explorer.

Вредоносная библиотека работает с браузерами Microsoft Internet Explorer, Opera, Mozilla Firefox, Google Chrome. В процессе работы Trojan.Mayachok.17727 записывает на диск зашифрованный конфигурационный файл, в котором хранит список управляющих серверов, внедряемый в просматриваемые пользователем веб-страницы скрипт и другие параметры.

По сравнению с Trojan.Mayachok.1, в код троянца были внесены существенные изменения: исчезла проверка на наличие в инфицируемой системе средств виртуализации, изменено число поддерживаемых процессов, а также механизм сравнения их имен, отсутствует функция проверки конфигурационного файла на целостность. Стоит напомнить, что Trojan.Mayachok стал одним из первых троянцев, использующих технику заражения VBR (Volume Boot Record): эта техника, как оказалось впоследствии, не была разработана создателями данной угрозы, а приобреталась ими у других вирусописателей. Например, аналогичный код был обнаружен в банковском троянце Trojan.Carberp.

Материалы по теме:

Источник:

window-new
Soft
Hard
Тренды 🔥
Microsoft предложила внушительные скидки на свои продукты участникам Build 2020 38 мин.
Обновление Windows 10 May 2020 Update вызывает проблемы с Intel Optane 53 мин.
Epic Games снова отложила запуск 3 сезона 2 главы Fortnite 3 ч.
В видеочатах Microsoft Teams смогут участвовать до 300 пользователей одновременно 4 ч.
Видео: многопользовательские баталии и босс Робосквидвард в трейлере SpongeBob SquarePants: Battle for Bikini Bottom — Rehydrated 4 ч.
Google выделит части контента на страницах, основываясь на тексте из поисковой выдачи 6 ч.
Аудитория российских пользователей Telegram достигла 30 млн человек 6 ч.
Анализ QIWI: из-за COVID-19 россияне стали тратить вдвое больше на игры в последние два месяца 7 ч.
Повреждённые сохранения и огонь в унитазе: после релиза большого обновления в The Sims 4 появились ошибки 7 ч.
В Escape from Tarkov заблокировали 10 тысяч читеров, на очереди — продавцы и покупатели предметов за реальные деньги 8 ч.