Новый Trojan.Mayachok показывает рекламу и обманывает пользователей

В августе 2014 г. специалисты компании «Доктор Веб» обнаружили и исследовали нового представителя семейства Trojan.Mayachok, получившего наименование Trojan.Mayachok.18831. Как сообщили CNews в «Доктор Веб», Trojan.Mayachok.18831 распространяется преимущественно с использованием массовых почтовых рассылок.

В первой половине прошлого года вредоносные программы семейства Trojan.Mayachok являлись одной из самых распространенных угроз на компьютерах пользователей, а число их модификаций составляло более полутора тысяч. Эти трояны блокировали на инфицированном ПК доступ к интернету и требовали у жертвы выкуп за восстановление подключения. В последнее время данный тип вредоносных программ стал понемногу утрачивать популярность в среде злоумышленников, уступив первенство другим угрозам, рассказали в компании.

Новый Trojan.Mayachok после запуска на инфицированной машине проверяет наличие своей работающей копии, при обнаружении которой прекращает действовать в системе, а также предпринимает попытку выявить запущенные процессы популярных антивирусных программ и виртуальных машин — эта информация впоследствии отправляется на принадлежащий злоумышленникам удаленный сервер. Затем Trojan.Mayachok.18831 получает из системного реестра сведения о домашней папке текущего пользователя Windows, пытается прочитать из нее ранее созданный им конфигурационный файл и, если это не удается, использует для своей работы параметры, хранящиеся в теле трояна. Помимо этого, Trojan.Mayachok.18831 генерирует второй конфигурационный файл, в котором содержится собранная на зараженном компьютере информация — его троян отправляет на сервер злоумышленников. Помимо выполнения основных вредоносных функций, Trojan.Mayachok.18831 способен загружать из интернета другие троянские программы — например, в исследованном специалистами «Доктор Веб» образце в качестве таковой выступает Trojan.LoadMoney.15.

Данная вредоносная программа способна работать как в 32-разрядных, так и в 64-разрядных версиях Windows, правда, в зависимости от разрядности ОС алгоритм ее действия имеет несколько функциональных различий. Однако в обоих случаях Trojan.Mayachok.18831 преследует одну и ту же цель: он встраивает в просматриваемые пользователем веб-страницы постороннее содержимое, при этом опасности подвергаются пользователи браузеров Microsoft Internet Explorer, Google Chrome, Mozilla Firefox, Opera и «Яндекс.Браузер». Так, при посещении пользователем некоторых интернет-ресурсов поверх просматриваемой веб-страницы троян демонстрирует окна с навязчивой рекламой.

При попытке войти в собственный аккаунт в социальной сети жертва трояна Trojan.Mayachok.18831 вместо привычной странички своего профиля увидит в анкете фотографии непристойного содержания и искаженную информацию о собственных сексуальных предпочтениях.

Троян встраивает собственное содержимое в страницу социальной сети таким образом, что имя пользователя и его анкетные данные (за исключением списка интересов) остаются прежними, а текст и изображения вредоносная программа получает из собственного скрипта. Если же напуганный пользователь попытается отредактировать содержимое своего профиля, его ждет еще один сюрприз — «менеджер» предложит пострадавшему восстановить взломанную анкету за i250.

Увеличить

Данная форма позволяет указывать любой телефонный номер, необязательно тот, к которому «привязана» текущая учетная запись. После нажатия на кнопку «Восстановить страницу» на экране должна отобразиться специальная форма для оформления платной подписки, сгенерированная сайтом оператора мобильной связи, которая обычно выглядит следующим образом:

Увеличить

Однако вредоносная программа Trojan.Mayachok.18831 вносит некоторые изменения и в эту веб-страницу, поэтому на инфицированном компьютере она отображается вот так:

Увеличить

После нажатия на кнопку «Получить доступ» на телефон приходит SMS-сообщение о подключении подписки стоимостью i20 в сутки на доступ к сайту onlinesoftzone.org.

Помимо прочего, троян способен сохранять и отправлять злоумышленникам снимки экрана зараженного компьютера.

Сигнатура Trojan.Mayachok.18831 добавлена в вирусные базы, поэтому антивирусные продукты «Доктор Веб» защищают своих пользователей от проникновения в систему данной угрозы. Однако специалисты компании рекомендуют пользователям проявлять осторожность и не запускать приложения, полученные в качестве вложения в сомнительных сообщениях электронной почты.

©  CNews