Число зараженных ПК снизилось на 31%.
Уменьшение примеров заражения очень существенно: сравнивая с данными 2-й половины сентября, полное количество зараженных ПК снизилось на 31%.
Trojan.Mayachok
Такое изменение динамики специалисты «Доктор Веб» объединяют с возникновением новой версии Trojan.Mayachok, которая, по всей видимости, пришла на замену первой. В новой версии троянца, принявшей название Trojan.Mayachok.17727, был существенно видоизменен код, а самое главное, применяются решения, нацеленные на обеспечение еще большей незаметности троянца для клиента. Так, дроппер Trojan.Mayachok.17727 не перезагружает персональный компьютер в ходе инфицирования, сам же момент установки остается совершенно неприметным для жертвы.
Троянская платформа состоит из 2-ух элементов: дроппера и спортивной библиотеки, в которой выполнена главная вредная работоспособность троянца. Дроппер создает в директории %MYDOCUMENTS% папку под названием IntMayak, в которую на время сохраняет троянскую библиотеку и REG-файл, созданный для регистрации библиотеки в системе. Потом дроппер ищет в памяти ПК заброшенный процесс эксплорер.exe и вводит в него вредный код. С применением этого кода, от имени процесса эксплорер.exe, троянец сохраняет в системную директорию %Систем32% копию вредной библиотеки. При помощи редактора списка Trojan.Mayachok.17727 ввозит REG-файл, изменяя ветка списка, отвечающую за загрузку вредной библиотеки во все процессы. Потом дроппер устраняет кратковременные документы и саму папку IntMayak, и в целях сокрытия метода собственного попадания в технологию подавляет документы cookies и чистит кеш интернет-браузера Майкрософт Mozilla firefox.
Вредная библиотека действует с интернет-браузерами Майкрософт Mozilla firefox, Opera, Mozillа Firefox, Google Chrome. В ходе работы Trojan.Mayachok.17727 вписывает на диск закодированный конфигурационный документ, в котором сберегает перечень правящих компьютеров, внедряемый в пробегаемые клиентом интернет-страницы script и прочие характеристики.
В отличии от Trojan.Mayachok.1, в код троянца были внесены значительные перемены: пропала проверка на содержание в инфицируемой системе средств виртуализации, изменено количество поддерживаемых действий, и механизм сопоставления их имен, отсутствует функция проверки конфигурационного документа на цельность. Напомним, что Trojan.Mayachok стал одним из первых троянцев, применяющих технику инфицирования VBR (Volume Boot Record): данная техника, как выяснилось потом, не была спроектирована создателями этой опасности, а приобреталась ими у прочих вирусописателей. К примеру, такой же код был замечен в банковском троянце Trojan.Carberp.
Ресурс: Врач Web