Создание сайтов и различных интернет-порталов сегодня является стремительно развивающимся направлением в интернет индустрии. Регулярно появляются все новые сайты, которые имеют различное предназначение - обеспечить пользователей всей необходимой информацией, предоставить некоторые товары и услуги, а также развлечения, общение с другими пользователями и многое другое.
Однако в последнее время в мире интернета все чаще стали появляться и новости, касающиеся создания компьютерных вирусов. Появление новой модификации Trojan.Mayachok – одно из наиболее актуальных событий на сегодняшний день.
Создание сайтов сегодня представляет собой стремительно развивающееся направление в мире интернета, которое позволяет пользователям получать максимальное количество необходимой информации. Многочисленные информационные сайты, интернет-магазины, социальные сети и многое другое регулярно пополняет просторы интернета. Заказать сайт-визитку или какую-либо другую страницу сегодня не составляет никаких проблем. Именно поэтому практически каждый день появляются самые разнообразные новости в сфере интернет индустрии. Однако далеко не все новости относятся к категории «создание и продвижение сайтов». Некоторые из них затрагивают область создания вирусов и модернизацию уже существующих. Наиболее актуальным на сегодняшний день событием из мира интернета является то, что на днях была обнаружена новая модификация Trojan.Mayachok.
О том, что сейчас стремительно распространяется новая модификация троянской программы семейства Trojan.Mayachok, которая, под именем Trojan.Mayachok.17516, была добавлена в вирусные базы Dr.Web, информирует компания «Доктор Веб». Несмотря на то, что данная угроза имеет множество сходств с уже распространенным троянцемTrojan.Mayachok.1, в архитектуре новой модификации также выявлены и некоторые существенные отличия.
Trojan.Mayachok.17516 – динамическая библиотека, которая устанавливается в операционную систему с использованием дроппера. Являясь исполнительным файлом, дроппер в общем случае расшифровывает эту вредоносную библиотеку, копируя ее на диск. В случае если функция контроля учетных записей пользователей в операционной системе включена, то доппер, под именем lash_player_update_1_12.exe, копирует себя во временную папку, после чего запускается на исполнение.
В случае если запуск прошел успешно и без каких-либо существенных сбоев, данный исполняемый файл расшифровывает вредоносную библиотеку, в которой содержится троянец, после чего сохраняет ее в одной из системных папок, которую выбирает случайным образом. Существуют версии данной библиотеки как для 64-разрядной, так и для 32-разрядной версий Windows. Далее дроппер регистрирует эту библиотеку в системном реестре, после чего самостоятельно перезагружает компьютер.
Вредоносная библиотека, используя регистрацию в параметре реестра AppInit_DLLs, пытается встроиться в другие процессы. При этом Trojan.Mayachok.17516, в отличие от прежней версии – Trojan.Mayachok.1, работает как в контексте процессов браузеров, так и в процессах explorer.exe и svchost.exe. Стоит отметить, что в 64-разрядных системах данная вредоносная программа способна работать только в этих двух указанных процессах. Для своей работы троянец использует зашифрованный конфигурационный файл, сохраняемый во временную папку или же в служебную папку %appdata%.
Основными функциями Trojan.Mayachok.17516 являются скачивание и запуск исполняемых файлов, а также перехват всех сетевых функций браузеров. Новая модификация Trojan.Mayachok.17516, используя процесс explorer.exe, осуществляет скрытый запуск браузеров, после чего производит «накрутку» посещаемости определенных порталов и интернет-ресурсов. Процесс svchost.exe, который ранее был инфицирован, обеспечивает связь с удаленным командным сервером, а также загрузку всех конфигурационных файлов и обновлений. В этот момент злоумышленники получают полную и подробную информацию о зараженном компьютере – сведения об установленных браузерах, версиях операционной системы и многое другое.
