Троян «Маячок» переписали с чистого листа

Здравствуйте уважаемые читатели блога Сам себе Seoшник!

В семье троянцев Mayachok, которая насчитывает уже более 1500 различных модификаций, вирусные аналитики Доктор Веб обнаружили нового члена под кодовым номером 18607. Trojan.Mayachok.18607 унаследовал логику своего семейства, все остальное у него свое, он написан новым автором с чистого листа.

«Маячки» очень распространены, согласно статистике Dr.Web. «Маячок» встраивает в web-страницы, на которые заходит пользователь, сторонний контент, для того, чтобы подписать своих жертв, в основном жителей соцсетей, на платные услуги.

Trojan.Mayachok.18607 поражает устройства на базе Windows - это и 32-разрядные, и 64-разрядные версии. Сразу после запуска вредоносная программа собирает информацию о конфигурации оборудования, имени пользователя и компьютера, затем вычисляет уникальный идентификатор, и только после этого копирует себя в каталог MyApplicationData. Успешно выполнив эти задания, троянец приступает к редактированию системного реестра, чтобы обеспечить себе автоматический запуск. В случае удаления или повреждения троянца он самовосстанавливается из корзины либо излечивается.

Чем грозит вирус Троян «Маячок»

Попадая в 32-разрядную версию Windows, Trojan.Mayachok.18607 интегрируется в процесс explorer.exe, а затем пытается внедриться в другие запущенные процессы.

Если Mayachok обнаруживает себя в 64-разрядной среде, он модифицирует ветвь системного реестра, которая обеспечивает автоматический запуск приложений. Затем вредонос запускает свой исполняемый модуль, копирует себя, удаляет файл дроппера. Trojan.Mayachok.18607 все время следит за тем, чтобы в памяти компьютера было не меньше двух его копий, и чтобы запись в реестре обеспечивала его автозапуск. Троянец не изменяет системный файл hosts, в отличии от своих собратьев, что усложняет его обнаружение.

При каждом запуске Trojan.Mayachok.18607 проверяет, какое антивирусное обеспечение установлено и активно на компьютере. Также он ищет себя в виртуальной среде, чтобы остановиться, если другая его копия уже работает. В инфицированной системе «Маячок.18607» встраивается во все процессы, затем сохраняет файл собственной конфигурации в случайную папку. Затем троянец связывается с командным сервером и отправляет ему информацию о захваченном компьютере. В ответ он получает файл конфигурации и, иногда команду на закачку исполняемого файла. В файле конфигурации содержится скрипт для инъекции во все Интернет-страницы, открываемые пользователем.

Под прицелом Trojan.Mayachok.18607 браузеры Google Chrome, Opera, Mozilla, Firefox и Microsoft Internet Explorer. При попытке посетить один из популярных ресурсов пользователь может столкнуться с сообщением о блокировке его аккаунта и требованием ввести номер мобильного для подтверждения своей личности. В арсенале троянца несколько фальшивых версий большинства популярных веб-страниц.

Во всех случаях от пользователя требуют номер телефона, введя который пользователь соглашается на платный сервис, за которым стоит сайт http://vkmediaget.com. Стоимость услуг – 20 рублей в день. В качестве альтернативе подписки мошенники присылают жертве СМС с номера 6681следующего содержания: «Для подтверждения ответьте DA на эту SMS. Поддержка 7hlp.com или 88001007337(бесплатно)». Отправка ответа на этот номер стоит 304.79 рублей.

На IP-адресе сайта vkmediaget.com располагаются и другие порталы. Наприме, odmediaget.com – для «Однокласников». Эти страницы, их названия и дизайн злоумышленники создали специально, чтобы ввести в заблуждение своих жертв. Еще на этом IP прописан сервис анонимайзера mediadostupno.com – это прикрытие, чтобы интернет-провайдер одобрил предоставление подписки и подключение мобильных платежей.

Проблема многих сайтов заключается в неудобстве для пользователей, а другими словами в плохом юзабилити. Сделать анализ юзабилити можно посетив данный сайт, там вы сможете узнать как самостоятельно можно проверить свой сайт на предмет качественного внешнего вида.

Подписка на новости ниже ↓