Перейти к содержимому


Фото

Nouvelle modification du Trojan.Mayachok


  • Please log in to reply
Нет ответов в данной теме

#1 News Robot

News Robot

    Creator of the News

  • Dr.Web Staff
  • 7 935 Сообщений:

Отправлено 28 Август 2012 - 03:00

Le 27 août 2012
Doctor Web informe les utilisateurs de la propagation du trojan de la famille Trojan.Mayachok, ajoutée aux bases virales Dr.Web sous le nom Trojan.Mayachok.17516. Ce nouveau trojan diffère considérablement du Trojan.Mayachok.1.
Trojan.Mayachok.17516 est une bibliothèque dynamique installée dans l'OS à l'aide d'un dropper qui, étant un fichier exécutable, décode et copie cette bibliothèque sur le disque. Si la fonction du contrôle des comptes utilisateurs est activée dans l’OS, le dropper sauvegarde une copie de lui-même dans le dossier temporaire flash_player_update_1_12.exe et lance le fichier exécutable.
Отправленное изображение
Si le lancement est réussi, ce fichier exécutable décrypte la bibliothèque comportant le trojan et l'enregistre dans un des dossiers système sous un nom aléatoire. Les bibliothèques malveillantes existent pour les versions 32- et 64- bits Windows. Ensuite, le dropper enregistre la bibliothèque dans la base de registre et redémarre le PC.
La bibliothèque malveillante cherche à s’intégrer dans d’autres processus en s'enregistrant dans le paramètre AppInit_DLLs du registre. A la différence du Trojan.Mayachok.1, Trojan.Mayachok.17516 est capable de fonctionner non seulement dans les processus des navigateurs mais également dans les processus svchost.exe et explorer.exe (Explorateur Windows). Il est à noter que dans les OS 64- bits, le programme malveillant ne fonctionne que dans ces deux derniers processus. Le trojan utilise pour son fonctionnement un fichier de configuration crypté qu'il enregistre soit dans un dossier temporaire soit dans un dossier système %appdata%.
Les fonctionnalités principales du Trojan.Mayachok.17516 sont le téléchargement et le lancement des fichiers exécutables et l’interception des fonctions réseau des navigateurs. En utilisant le processus explorer.exe, Trojan.Mayachok.17516 lance les navigateurs à l’insu de l'utilisateur pour augmenter la fréquentation de certaines pages web choisies par les pirates. Le processus infecté svchost.exe assure la connexion avec le serveur distant ainsi que le téléchargement des fichiers de configuration et les mises à jour. Les malfaiteurs reçoivent les données sur l’OS, les navigateurs Internet installés etc, sur le PC infecté. La signature de cette menace a été ajoutée aux bases virales Dr.Web. Trojan.Mayachok.17516 n’est pas dangereux pour les utilisateurs Dr.Web.


http://news.drweb.fr/show/?i=697&c=5


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых