Методы обнаружения вирусов

15 апреля 2013 года

Специалисты корпорации «Доктор Веб» – отечественного производителя антивирусных денег обороны инфы – заприметили новейшую эдак чисто весьма необычную версию вредной программы Trojan.Mayachok. Троянцы этого семейства уже насчитывают порядка 1500 всевозможных модификаций, причем отдельный из их появляются самыми общераспространенными на персональных компьютерах юзеров по статистике Dr.Web. Trojan.Mayachok.18607 дозволяет встраивать в просматриваемые юзерами интернет-страницы инородное содержимое, благодаря чему преступники приобретают вероятность получать на жертвах этой вредной программы, подписывая их на всевозможные платные услуги.

В процессе исследования архитектуры троянца Trojan.Mayachok.18607 у вирусных аналитиков «Доктор Веб» сформировалось впечатление, чисто творец попробовал переписать код этой вредной программы «с полотенца листа», делая упор на логику семейства Trojan.Mayachok. То есть, перестать исключено, чисто у известных посреди злоумышленников троянцев семейства Trojan.Mayachok возник новейший автор.

Trojan.Mayachok.18607 в силах инфицировать будто 32-разрядные, эдак столь чисто 64-разрядные версии ОС Windows. В минута пуска троянец вычисляет непередаваемый идентификатор зараженной машины, для чего коллекционирует информацию об оборудовании, имени персонального персонального компьютера эдак чисто имени пользователя, там чего формирует свою копию в папке MyApplicationData. далее троянец трансформирует системный реестр с целью снабжения полуавтоматического пуска личной копии. В 32-разрядных версиях Windows Trojan.Mayachok.18607 имплантируется в за раньше заброшенный процесс explorer.exe, там чего старается встроиться в альтернативные процессы. В архитектуре вредной программы предусмотрен устройство восстановления единства троянца в случае его удаления либо повреждения.

В 64-разрядных версиях Windows троянец орудует маленько иначе: Trojan.Mayachok.18607 видоизменяет область системного реестра, отвечающую за автоматизированную загрузку приложений, запускает домашний исполняемый файл эдак чисто еще одну копию самого себя, там чего удаляет файл дроппера. Троянец время от времени испытывает присутствие 2-ух своих копий в памяти инфицированного компьютера, а уж уж еще сообразных записей в реестре.

В минута пуска Trojan.Mayachok.18607 измеряет присутствие на инфицированном персональном персональном компьютере антивирусных программ, проверяя имена функциональных процессов, а уж уж еще старается определить, перестать запущен ли он в виртуальной среде. окончив инсталляцию в инфицированной системе, Trojan.Mayachok.18607 старается встроиться во шабаш процессы Windows, в книжка числе, в процессы еще запускаемых браузеров. далее троянец предохраняет в одну из папок свой конфигурационный файл. там этого Trojan.Mayachok.18607 устанавливает сплетение с управляющим сервером эдак чисто посылает злодеям информацию об инфицированном компьютере. за исключением конфигурационных заданных отзыв удаленного сервера помножать охватывать команду на загрузку исполняемого файла. там загрузки Trojan.Mayachok.18607 запускает этот файл. за исключением прочего, конфигурационный файл содержит скрипт, который-нибудь троянец встраивает во шабаш просматриваемые юзером веб-страницы.

Основное назначение Trojan.Mayachok.18607 заключается в осуществлении эдак именуемых веб-инжектов: при открытии всевозможных веб-страниц вредная программа встраивает в их инородное содержимое. Под опасностью находятся браузеры гугл Chrome, мозилла Firefox, Opera эдак чисто Microsoft Internet Explorer нескольких версий, охватывая последние. юзер зараженной автомобиля при открытии кое-каких известных интернет-ресурсов помножать хватить в окне обозревателя необычную веб-страницу, в коию троянец встраивает инородное содержимое. Например, на медиа-сайте общественной паутине «ВКонтакте» юзеру помножать водиться продемонстрировано сообщение:

На вашу вебстраницу в направление 24 часов было изготовлено больше 10 неудачных попыток авторизации (вы либо некто супротивный внедрили неправильный пароль 12 раз). акк временно заблокирован для предотвращения взлома. дабы подтвердить, чисто Вы подлинно являетесь хозяином страницы, пожалуйста, укажите номер вашего мобильного телефона, к коему привязана страница. коли раньше вебстраница перестать была привязана к номеру Вашего мобильного телефона, то она довольно привязана к номеру, который-нибудь вы введете ниже.

Проверка системного файла hosts, в который-нибудь отдельный троянцы заносят перемены (что помножать предназначаться одним из признаков заражения), еще перестать доставит подабающего результата: Trojan.Mayachok.18607 перестать трансформирует этот файл. При этом троянец располагает вариациями фальшивых веб-страниц для многих интернет-ресурсов, в частности, юзеры общественной паутине «Одноклассники» имеют все шансы приобрести известие последующего содержания:

Вы пробуете забежать из неспецефического места. коли вы пробуете ступить из привычного места, возможно, провайдер сменил ваш IP.

После ввода отель мобильного мобильника юзер чисто оказалось подписан на услуги сайта http://vkmediaget.com, цена подписки составляет 20 рублей в сутки. Услуга предоставляется вместе с корпорацией ЗАО «Контент-провайдер начальный Альтернативный». В качестве иного способа монетизации преступники пользуют эдак именуемые «псевдоподписки»: с отель 6681 жертве приходит СМС с текстом «Для доказательства ответьте DA на данную SMS. помощь 7hlp.com либо 88001007337(бесплатно)». цена ответного сообщения составляет 304.79 руб.

На книжка же IP-адресе, где-нибудь располагается веб-сайт vkmediaget.com, платные услуги коего монетизирует троянец Trojan.Mayachok.18607, располагаются эдак чисто альтернативные интернет-ресурсы, например, odmediaget.com (для юзеров соцсети odnoklassniki.ru) — имена эдак чисто оформление подобных веб-страниц специально подобраны с целью взвести юзеров в заблуждение. за исключением того, на этом сервере предрасположен веб-сайт mediadostupno.com, якобы предоставляющий услуги анонимайзера. В этом случае, будто эдак чисто во огромном количестве аналогичных, веб-сайт применяется будто заслон для поощрения предоставляемой подписки со стороны контент-провайдера эдак чисто включения мобильных платежей.

Сигнатура предоставленной опасности наличествует в вирусных базах Dr.Web. коли вы пострадали от действий троянца Trojan.Mayachok.18607, испытайте ваш персональный компьютер с поддержкой антивируса, либо пользуйтесь бесплатной лечащей утилитой Dr.Web CureIt!

НОВОЕ НА САЙТЕ

25 марта 2024 годы

С 1 апреля текущего годы «Доктор Веб» обновляет цена лицензий на употребление ряда программных продуктов Dr.Web для индивидуального употребления эдак как для бизнеса эдак как госучреждений. помимо того, вводятся некие перемены в правилах лицензирования.

Так, будут повышены цены на Dr.Web Security Space для обороны 1... Антивирус Dr.Web

22 марта 2024 года

Комплексное решение для обороны любых объектов корпоративной сети, испытания почтового так что интернет-трафиков Dr.Web Enterprise Security Suite прошло инспекционный контроль ФСТЭК России.

Успешное прохождение испытаний доказано сертификатом соответствия №3509, реальным перед началом 27 января 2029 года.

С мо... Антивирус Dr.Web

Скачать в PDF Горячая лента угроз и предупреждений о вирусной опасности!

Скачать в PDF Вирусные новости

6 марта 2024 года

«Доктор Веб» информирует о масштабном обновлении продуктов Dr.Web 12.0 так что 13.0 с централизованным управлением для бизнеса, а уж а а также продукта для обороны АСУ ТП Dr.Web Industrial.Теперь системным админам доступны новейшие способности управления системой защиты, в то период как-либо выявленные ошибки были исправлены.... Антивирус Dr.Web