Эксперты сообщают о появлении существенных отличий от предыдущих модификаций.
Согласно сообщению компании «Доктор Веб», эксперты обнаружили распространение новой модификации троянского приложения Trojan.Mayachok. Исследователи утверждают, что, не смотря относительную схожесть с предыдущими версиями, в трояне обнаружен ряд существенных отличий.
Так, новая модификация вредоносного приложения представляет собой динамическую библиотеку, устанавливаемую в операционную систему с использованием дроппера, который, являясь исполняемым файлом, в общем случае расшифровывает и копирует эту библиотеку на диск.
«В случае успешного запуска этот исполняемый файл расшифровывает содержащую троянца библиотеку и сохраняет ее в одну из системных папок со случайным именем. Существуют версии библиотеки как для 32-разрядной, так и для 64-разрядной версий Windows. Затем дроппер регистрирует библиотеку в системном реестре и перезагружает компьютер», - поясняют исследователи.
Кроме того, в «Доктор Веб» отметили, что, в отличие от предыдущих версий, обновленный троян способен встраиваться не только в процессы браузеров, но и в svchost.exe, а также explorer.exe.
Основные функции вируса заключаются в скачивании и запуске исполняемых файлов, перехвате сетевых функций браузеров. С использованием процесса explorer.exe вредоносная программа осуществляет скрытый запуск браузеров и производит «накрутку» посещаемости некоторых интернет-ресурсов.
Ознакомиться с отчетом «Доктор Веб» можно здесь.
Источник: securitylab.ru.
|