Revenir vers la liste d'actualités
Le 25 août 2014
Trojan.Mayachok.18831 est distribué via la messagerie. Après son lancement sur la machine infectée, le Trojan vérifie la présence de sa copie déjà opérationnelle dans le système et s'il la détecte, il s'arrête. De plus, il essaie de détecter les processus des antivirus les plus utilisés lancés dans le système pour envoyer cette information au serveur appartenant aux malfaiteurs. Puis le Trojan.Mayachok.18831 reçoit des informations sur le dossier personnel de l'utilisateur Windows depuis le registre et tente d'y lire le fichier de configuration qu'il a déjà créé. Sinon, il utilise, pour fonctionner, un paramètre stocké dans son corps. De plus, le Trojan.Mayachok.18831 génère un second fichier de configuration, qui contient les données recueillies sur l'ordinateur infecté. Ce fichier sera envoyé au serveur des attaquants. Le Trojan.Mayachok.18831 est capable de télécharger sur Internet d’autres logiciels malveillants, par exemple le Trojan.LoadMoney.15.
Ce malware est compatible avec les versions 32-bits et 64-bits de Windows, mais en fonction de l'OS, son algorithme de fonctionnement diffère. Cependant, dans les deux cas, le Trojan.Mayachok.18831 poursuit le même objectif : il injecte du contenu dans les pages web consultées par les utilisateurs des navigateurs web suivants : Microsoft Internet Explorer, Google Chrome, Mozilla Firefox, Opera, et Yandex.Browser. Ainsi, lorsque l'utilisateur visite certain sites, le Trojan affiche les fenêtres avec la publicité :
Et ce n'est sa seule fonction malveillante. Lorsque la victime du Trojan.Mayachok.18831 essaie d'accéder à son compte dans un réseau social, au lieu de son profil (en haut) original, elle verra des photos obscènes et des soi-disant informations sur ses préférences sexuelles (ci-dessous) :
Le Trojan intègre son contenu dans la page du réseau social afin que le nom de l'utilisateur et ses données personnelles (à l'exception d'une liste d'intérêts) restent les mêmes, mais le texte et les images seront remplacés par les objets que le Trojan reçoit de son script. Si l'utilisateur essaie de modifier le contenu de son profil, " l'assistant " proposera de restaurer le profil piraté pour 250 roubles :
Ce formulaire vous permet de spécifier un numéro de téléphone, pas nécessairement celui qui est " lié " à votre profil. Après avoir cliqué sur " Restaurer la page " le formulaire spécial pour s'abonner devrait s'afficher sur l'écran. Il est généré par le site de l'opérateur mobile et a la forme suivante :
Cependant, le Trojan.Mayachok.18831 modifie cette page, c'est pourquoi sur l'ordinateur infecté elle est affichée comme suit :
Après avoir cliqué sur " Accéder " la victime reçoit un SMS qui la notifie sur un abonnement pour 20 roubles par jour au site http://onlinesoftzone.org.
De plus, le Trojan peut faire des captures d'écran et les envoyer aux attaquants. La signature du Trojan.Mayachok.18831 a été ajoutée aux bases virales Dr.Web, c'est pourquoi les produits de Doctor Web protègent complètement leurs utilisateurs contre cette menace. Les spécialistes de Doctor Web recommandent aux utilisateurs de rester prudents et de ne pas lancer des applications reçues comme pièces jointes dans les messages.
Votre avis nous intéresse
Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.
Other comments