Методы обнаружения вирусов

25 августа 2014 года

Компания «Доктор Веб» воображает технические детали о новеньком представителе семейства вредных программ Trojan.Mayachok, получившем название Trojan.Mayachok.18831.

Trojan.Mayachok.18831 — вредная программа, распространяемая предпочтительно в массовых почтовых рассылках. насколько этак что альтернативные представители предоставленного семейства, Trojan.Mayachok.18831 специализирован для встраивания инородного содержимого в просматриваемые юзером интернет-страницы с применением технологии веб-инжектов, тем закончить делать менее в различие от своих предшественников Trojan.Mayachok.18831 владеет способностью демонстрации поверх просматриваемого жертвой сайта маркетинговых баннеров, замена содержимого страниц общественных сетей — только одна из его функций. кроме прочего, троянец в силах хранить этак что отправлять злодеям снимки экрана зараженного компьютера.

После пуска на инфицированной машине троянец инспектирует присутствие собственной работающей копии, при обнаружении коей прекращает орудовать в системе. инспектирует присутствие запущенных процессов известных антивирусных программ этак что виртуальных машин: cpf.exe, MsMpEng.exe, msseces.exe, avp.exe, dwengine.exe, ekrn.exe, AvastSvc.exe, avgnt.exe, avgrsx.exe, ccsvchst.exe, Mcshield.exe, bdagent.exe, uiSeAgnt.exe, vmtoolsd.exe, vmacthlp.exe, vpcmap.exe, vmsrvc.exe, vmusrvc.exe, VBoxService.exe.

Для получения папки текущего юзера троянец обращается к отрасли системного реестра HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerShell Folders, старается прочесть из папки юзера раньше рожденный им же конфигурационный файл, а уж коли это закончить делать удается, извлекает конфигурационные заданные из личного тела. Троянец в силах загружать из веба этак что бросать альтернативные вредные приложения — в исследованном специалистами фирмы «Доктор Веб» образчике в качестве такой выступает Trojan.LoadMoney.15.

Trojan.Mayachok.18831 генерирует 2-ой конфигурационный файл, в котором содержится собранная на зараженном персональном компьютере информация, — заданные шифруются TEA-подобным алгоритмом, кодируются в Base64 этак что отчаливает на сервер POST-запросом. сплетение с командным сервером монтируется или при поддержке функций socket() этак что connect(), или с применением функций библиотеки wininet.dll. Идентификатор инфицированного персонального персонального персонального компьютера составляется из строки-идентификатора первого диска этак что MAC-адреса сетевой карты. От этой строчки троянец вычисляет смысл MD5 с применением функций Windows CryptoAPI. приобретенное смысл в образе HEX-строки потом применяют троянцем в качестве уникального идентификатора.

В 32-разрядных ОС троянец запускает процесс explorer.exe этак что при поддержке опции NtQueueApcThread имплантируется в него. Выполняемый в контексте explorer.exe код удаляет файл троянца, там чего начинает перебирать запущенные процессы. Trojan.Mayachok.18831 отыскивает процессы с именами amigo.exe, explorer.exe, iexplore.exe, chrome.exe, firefox.exe, opera.exe, browser.exe, minerd.exe. Для всякого подобного процесса запускается код инжекта, снутри коего происходит испытание имени процесса. коли троянец встроился в explorer.exe, запускаются трояк треда с потоками полезной нагрузки, в случае с альтернативными процессами запускается процедура перехвата API.

В 64-разрядных ОС троянец инспектирует путь, по коему предрасположен его исполняемый файл. коли троянец запущен из файла %MYDOCUMENTS%CommonDatawinhlp31.exe, Trojan.Mayachok.18831 запускает трояк потока с кодом полезной нагрузки. равный из потоков устанавливает троянца в систему этак что индексирует его в автозагрузке. 2-ой поток ждет инсталляции флага самоудаления, этак что в случае инсталляции подобного флага удаляет троянца. Третий поток удаляет файлы cookies всевозможных браузеров при поддержке функций библиотеки sqlite3.dll этак что запрашивает с управляющих серверов конфигурационные данные. Троянец перехватывает насколько WinAPI, этак так что специфичные для браузеров опции для прибавления в вебстраницы инородного содержимого способом веб-инжектов.

Основное предназначение Trojan.Mayachok.18831 — демонстрация в браузере рекламы поверх просматриваемых юзером веб-страниц:

screen

Помимо этого троянец в силах заменять содержимое анкеты юзера в общественных сетях, размещая в профиле юзера изображения этак что тексты неприличного содержания. При попытке отредактировать содержимое профиля троянец приглашает уплатить данную услугу способом регистрации платной подписки:

screen

Также троянец заносит конфигурации в форму дизайна платной подписки, сгенерированную веб-сайтом оператора мобильной связи, с целью утаить от юзера значимую информацию:

screen

screen

После наполнения предоставленной формы на подвижный мобильник жертвы приходит СМС со надлежащим текстом:

Введите код **** для включения подписки "http://onlinesoftzone.org". цена 20,00 руб. с НДС за 1 день

Для предотвращения инфецирования вашего персонального персонального персонального компьютера вредной программой Trojan.Mayachok.18831 применяйте современное антивирусное программное снабжение этак что закончить делать запускайте приложения, приобретенные в качестве вложения в сомнительных сообщениях электронной почты.

Новость об угрозе

НОВОЕ НА САЙТЕ

25 марта 2024 годы

С 1 апреля текущего годы «Доктор Веб» обновляет цена лицензий на употребление ряда программных продуктов Dr.Web для индивидуального употребления эдак как для бизнеса эдак как госучреждений. помимо того, вводятся некие перемены в правилах лицензирования.

Так, будут повышены цены на Dr.Web Security Space для обороны 1... Антивирус Dr.Web

22 марта 2024 года

Комплексное решение для обороны любых объектов корпоративной сети, испытания почтового так что интернет-трафиков Dr.Web Enterprise Security Suite прошло инспекционный контроль ФСТЭК России.

Успешное прохождение испытаний доказано сертификатом соответствия №3509, реальным перед началом 27 января 2029 года.

С мо... Антивирус Dr.Web

Скачать в PDF Горячая лента угроз и предупреждений о вирусной опасности!

Скачать в PDF Вирусные новости

6 марта 2024 года

«Доктор Веб» информирует о масштабном обновлении продуктов Dr.Web 12.0 так что 13.0 с централизованным управлением для бизнеса, а уж а а также продукта для обороны АСУ ТП Dr.Web Industrial.Теперь системным админам доступны новейшие способности управления системой защиты, в то период как-либо выявленные ошибки были исправлены.... Антивирус Dr.Web