курс цб на 19.11:
59.6325
70.3604

Появилась новая модификация вредоносной программы Trojan.Mayachok

28 сентября 2012 10:03 Количество просмотров39 просмотров

Толковый словарь

Троянская программа состоит из двух компонентов: дроппера и динамической библиотеки, в которой реализован основной вредоносный функционал троянца. Дроппер создает в директории %MYDOCUMENTS% папку с именем IntMayak, в которую временно сохраняет троянскую библиотеку и REG-файл, предназначенный для регистрации библиотеки в системе. Затем дроппер ищет в памяти ПК запущенный процесс explorer.exe и внедряет в него вредоносный код. С использованием данного кода, уже от имени процесса explorer.exe, троянец сохраняет в системную директорию %SYSTEM32% копию вредоносной библиотеки. С помощью редактора реестра Trojan.Mayachok.17727 импортирует REG-файл, модифицируя ветвь реестра, отвечающую за загрузку вредоносной библиотеки во все процессы. Затем дроппер удаляет временные файлы и саму папку IntMayak, а также с целью сокрытия способа своего проникновения в систему уничтожает файлы cookies и очищает кеш браузера Microsoft Internet Explorer.

Вредоносная библиотека работает с браузерами Microsoft Internet Explorer, Opera, Mozilla Firefox, Google Chrome. В процессе работы Trojan.Mayachok.17727 записывает на диск зашифрованный конфигурационный файл, в котором хранит список управляющих серверов, внедряемый в просматриваемые пользователем web-страницы скрипт и другие параметры.

В отличие от Trojan.Mayachok.1, в код троянца были внесены существенные изменения: исчезла проверка на наличие в инфицируемой системе средств виртуализации, изменено число поддерживаемых процессов, а также механизм сравнения их имен, отсутствует функция проверки конфигурационного файла на целостность. Стоит напомнить, что Trojan.Mayachok стал одним из первых троянцев, использующих технику заражения VBR (Volume Boot Record): эта техника, как оказалось впоследствии, не была разработана создателями данной угрозы, а приобреталась ими у других вирусописателей. Например, аналогичный код был обнаружен в банковском троянце Trojan.Carberp.

Ознакомиться с другими новостями по данной тематике Вы можете в рубрике Безопасность

По материалам «Доктор Веб»




В рубриках:
Безопасность
Лента новостей
Безопасность
Банки и МФО Qiwi приобрела Рокетбанк и «Точку»
17 ноября 2017 15:15
Количество просмотров 696 просмотров
Технологии SIM-карта заменит паспорт?
15 ноября 2017 10:39
Количество просмотров 285 просмотров
Банки и МФО «Госбанк» с дружеским лицом
14 ноября 2017 14:41
Количество просмотров 714 просмотров
Криптовалюты Курс биткоина упал почти на 30%
13 ноября 2017 10:01
Количество просмотров 227 просмотров