Kvartal-SP.Ru

Эксперты компании «Доктор Веб» нашли свежую версию вредной платформы Trojan.Mayachok.

Троянцы данного рода содержат порядка 1500 разных версий, при этом некоторые из них считаются наиболее известными на ПК клиентов по статистике Dr.Web. Trojan.Mayachok.18607 дает возможность вделывать в пробегаемые клиентами интернет-страницы стороннее содержание, из-за чего мошенники приобретают вероятность зарабатывать на потерпевших данной вредной платформы, ставя свою подпись в их на разные коммерческие услуги.

В ходе обучения архитектуры троянца Trojan.Mayachok.18607 у вирусных специалистов «Доктор Веб» сложилось ощущение, что создатель предпринял попытку скопировать код данной вредной платформы «с чистого листа», делая упор на логику рода Trojan.Mayachok. Другими словами, не исключено, что у распространенных среди мошенников троянцев рода Trojan.Mayachok был замечен свежий создатель.

Trojan.Mayachok.18607 способен заражать как 32-разрядные, так и 64-разрядные версии ОС Виндоус. В момент старта троянец исчисляет эксклюзивный личный номер инфицированной автомашины, для чего собирает информацию об оснащении, имени ПК и имени клиента, затем выполняет собственную копию в папке MyApplicationData. Потом троянец видоизменяет системный список в целях снабжения автоматического старта своей копии.

В 32-разрядных вариантах Виндоус Trojan.Mayachok.18607 вделывается в заранее заброшенный процесс эксплорер.exe, затем старается встроиться в иные процессы. В архитектуре вредной платформы учтен механизм восстановления единства троянца в случае его снятия либо поражения. В 64-разрядных вариантах Виндоус троянец работает чуть по другому: Trojan.Mayachok.18607 модифицирует ветка системного списка, отвечающую за автоматическую загрузку дополнений, пускает собственный выполняемый документ еще одну копию себя самого, затем устраняет документ дроппера. Троянец время от времени рассматривает содержание 2-ух собственных копий в памяти зараженного ПК, и аналогичных записей в списке.

Главное назначение Trojan.Mayachok.18607 состоит в совершении так именуемых веб-инжектов: при изобретении разных интернет-страниц вредная платформа вделывает в них стороннее содержание. На грани располагаются интернет-браузеры Google Chrome, Mozillа Firefox, Opera и Майкрософт Mozilla firefox нескольких модификаций, включая заключительные. Клиент инфицированной автомашины при изобретении определенных распространенных интернет-ресурсов может заметить в окне обозревателя необычную интернет-страницу, в которую троянец вделывает стороннее содержание. Проверка системного документа hosts, в который определенные троянцы придают перемены (что может служить одним из свойств инфицирования), также не доставит подобающего итога: Trojan.Mayachok.18607 не видоизменяет этот документ.

После ввода номера смартфона клиент оказывается подписан на услуги сайта http://vkmediaget.com, стоимость подписки составляет 20 руб в день. Услуга предоставляется вместе с организацией ЗАО «Контент-провайдер Первый Альтернативный». В роли иного способа монетизации мошенники применяют так именуемые «псевдоподписки»: с номера 6681 жертве наступает SMS с текстом «Для доказательства ответьте DA на данную СМС.

На таком же Адресе, где размещается веб-сайт vkmediaget.com, коммерческие услуги которого монетизирует троянец Trojan.Mayachok.18607, находятся и прочие интернет-ресурсы, к примеру, odmediaget.com (для клиентов социальные сети одноклассники.ru) — имена и формирование подобных интернет-страниц специально выбраны в целях ввести клиентов в заблуждение. Помимо этого, на этом компьютере находится веб-сайт mediadostupno.com, будто бы дающий услуги анонимайзера. Веб-сайт применяется как прикрытие для поощрения предоставляемой подписки со стороны контент-провайдера и включения мобильных платежей.