Le 26 juillet 2012

Doctor Web avertit les utilisateurs sur la propagation du trojan Trojan.Yaryar.1. L'une des particularités de ce trojan-downloader est qu'il peut travailler directement avec les structures de NTFS, et qu'il est doté de nombreuses fonctionnalités permettant de détecter les outils de débogage et d'analyse.

Le mécanisme de propagation de ce Trojan n'est pas encore complètement établi, mais en revanche, l'algorithme de son comportement dans le système contaminé est très bien analysé. Le programme malveillant comporte deux modules : le dropper et le downloader, les deux composants sont écrits en language C++. Le Trojan.Yaryar.1 se distingue des autres trojan downloader par son propre algorithme assurant l'accès aux structures du système de fichiers NTFS. Le dropper enregistre le downloader sur le disque sous forme de bibliothèque dynamique avec un nom aléatoire et puis il tente de la charger en mémoire en utilisant la bibliothèque cryptsvc.dll, dans laquelle il introduit préalablement un code binaire exécutable spécifique.

Le Trojan Trojan.Yaryar.1 possède une fonctionnalité puissante permettant de détecter les outils de débogage et d'analyse, il se supprime de la machine contaminée en cas de détection de ce type d’outils. Une fois lancé, le Trojan tente d'obtenir les privilèges de débogage dans le système, et de s'intégrer dans le processus spoolsv.exe. Puis, il désactive le Service de sécurité Windows, le Service de mises à jour automatiques et le Pare-feu Windows, ensuite il établit une connexion aux serveurs distants pour télécharger et exécuter d'autres fichiers sur l'ordinateur infecté.

La signature de cette menace est ajoutée aux bases virales Dr.Web, cependant, ce Trojan peut représenter un danger pour les utilisateurs ignorant la nécessité d'installer sur leurs ordinateurs des logiciels antivirus.