Le 25 août 2014

La première moitié de l’année dernière a été marquée par une importante propagation de logiciels malveillants de la famille Trojan.Mayachok, dont le nombre de modifications a dépassé 1500. Ces Trojans bloquaient l'accès Internet et extorquaient une rançon pour restaurer la connexion. Au fil du temps, ce type de malware semblait avoir perdu les faveurs des pirates. Cependant, en août 2014, les spécialistes de Doctor Web ont détecté un nouveau représentant de cette famille, baptisé Trojan.Mayachok.18831.

Trojan.Mayachok.18831 est distribué via la messagerie. Après son lancement sur la machine infectée, le Trojan vérifie la présence de sa copie déjà opérationnelle dans le système et s'il la détecte, il s'arrête. De plus, il essaie de détecter les processus des antivirus les plus utilisés lancés dans le système pour envoyer cette information au serveur appartenant aux malfaiteurs. Puis le Trojan.Mayachok.18831 reçoit des informations sur le dossier personnel de l'utilisateur Windows depuis le registre et tente d'y lire le fichier de configuration qu'il a déjà créé. Sinon, il utilise, pour fonctionner, un paramètre stocké dans son corps. De plus, le Trojan.Mayachok.18831 génère un second fichier de configuration, qui contient les données recueillies sur l'ordinateur infecté. Ce fichier sera envoyé au serveur des attaquants. Le Trojan.Mayachok.18831 est capable de télécharger sur Internet d’autres logiciels malveillants, par exemple le Trojan.LoadMoney.15.

Ce malware est compatible avec les versions 32-bits et 64-bits de Windows, mais en fonction de l'OS, son algorithme de fonctionnement diffère. Cependant, dans les deux cas, le Trojan.Mayachok.18831 poursuit le même objectif : il injecte du contenu dans les pages web consultées par les utilisateurs des navigateurs web suivants : Microsoft Internet Explorer, Google Chrome, Mozilla Firefox, Opera, et Yandex.Browser. Ainsi, lorsque l'utilisateur visite certain sites, le Trojan affiche les fenêtres avec la publicité :

Et ce n'est sa seule fonction malveillante. Lorsque la victime du Trojan.Mayachok.18831 essaie d'accéder à son compte dans un réseau social, au lieu de son profil (en haut) original, elle verra des photos obscènes et des soi-disant informations sur ses préférences sexuelles (ci-dessous) :

Le Trojan intègre son contenu dans la page du réseau social afin que le nom de l'utilisateur et ses données personnelles (à l'exception d'une liste d'intérêts) restent les mêmes, mais le texte et les images seront remplacés par les objets que le Trojan reçoit de son script. Si l'utilisateur essaie de modifier le contenu de son profil, " l'assistant " proposera de restaurer le profil piraté pour 250 roubles :

Ce formulaire vous permet de spécifier un numéro de téléphone, pas nécessairement celui qui est " lié " à votre profil. Après avoir cliqué sur " Restaurer la page " le formulaire spécial pour s'abonner devrait s'afficher sur l'écran. Il est généré par le site de l'opérateur mobile et a la forme suivante :

Cependant, le Trojan.Mayachok.18831 modifie cette page, c'est pourquoi sur l'ordinateur infecté elle est affichée comme suit :

Après avoir cliqué sur " Accéder " la victime reçoit un SMS qui la notifie sur un abonnement pour 20 roubles par jour au site http://onlinesoftzone.org.

De plus, le Trojan peut faire des captures d'écran et les envoyer aux attaquants. La signature du Trojan.Mayachok.18831 a été ajoutée aux bases virales Dr.Web, c'est pourquoi les produits de Doctor Web protègent complètement leurs utilisateurs contre cette menace. Les spécialistes de Doctor Web recommandent aux utilisateurs de rester prudents et de ne pas lancer des applications reçues comme pièces jointes dans les messages.

Plus d'infos sur cette menace