15.10.2012 НовостиКомпания «Доктор Web» предупредила о появлении новой модификации вредоносной программы Trojan.Mayachok, добавив ее сигнатуру в свои вирусные базы под именем Trojan.Mayachok.17727. С начала сентября специалистами компании зафиксировано значительное снижение числа заражений Trojan.Mayachok.1, до конца августа лидировавшего в списке наиболее распространенных угроз: по сравнению с показателями второй половины августа общее количество инфицированных ПК меньше на 31%. Подобную динамику аналитики «Доктор Web» связывают с появлением новой модификации Trojan.Mayachok, которая, видимо, пришла на смену первой. В новой версии троянца значительно видоизменен код, а главное, используются решения, направленные на обеспечение еще большей незаметности для пользователя. Так, дроппер Trojan.Mayachok.17727 не перезагружает компьютер в процессе заражения, а сам момент установки остается абсолютно незаметным для жертвы. Троянская программа состоит из двух компонентов: дроппера и динамической библиотеки, в которой реализован основной вредоносный функционал. Дроппер создает в директории %MYDOCUMENTS% папку с именем IntMayak, в которую временно сохраняет троянскую библиотеку и REG-файл, предназначенный для регистрации библиотеки в системе. Затем дроппер ищет в памяти ПК запущенный процесс explorer.exe и внедряет в него вредоносный код. С использованием данного кода, уже от имени процесса explorer.exe, троянец сохраняет в системную директорию %SYSTEM32% копию вредоносной ...
читать далее.