Le 27 septembre 2012

Une nouvelle modification du programme malveillant Trojan.Mayachok, a été mise en lumière. Sa signature a été ajoutée aux bases virales sous le nom de Trojan.Mayachok.17727.

Début septembre, les spécialistes de Doctor Web ont détecté une baisse importante (de 31%) des infections par le Trojan.Mayachok.1, cette menace étant restée en tête des infections jusqu’à fin août.

Les analystes de Doctor Web pensent que cette baisse est justement liée à l'apparition d'une nouvelle version du trojan : Trojan.Mayachok.17727. Son code malveillant a subi de fortes modifications afin que son fonctionnement soit encore plus invisible pour les utilisateurs. Ainsi, le dropper Trojan.Mayachok.17727 ne provoque pas de charge excessive sur le PC lors de l’infection, qui reste complètement invisible pour l’utilisateur.

Le trojan contient deux composants : un dropper et une bibliothèque dynamique, celle-ci portant le contenu malveillant du trojan. Le dropper crée un dossier IntMayak dans %MYDOCUMENTS%, dans lequel il sauvegarde temporairement la bibliothèque du trojan et un fichier REG- permettant d’enregistrer la bibliothèque dans le système. Ensuite, le dropper cherche en mémoire le processus explorer.exe et y intègre le code malveillant. En utilisant ce code et sous le nom de processus explorer.exe, le trojan sauvegarde une copie de la bibliothèque malveillante dans %SYSTEM32% . Avec l’éditeur de base de registre, le Trojan.Mayachok.17727 importe le fichier REG en modifiant la branche du registre relative à l'intégration de la bibliothèque dans tous les processus. Enfin, le dropper supprime les fichiers temporaires et le dossier IntMayak, et pour cacher sa technique de pénétration dans le système, il supprime également les cookies et le cash du navigateur Microsoft Internet Explorer.

La bibliothèque malveillante est compatible avec Microsoft Internet Explorer, Opera, Mozilla Firefox, Google Chrome. Lors de son fonctionnement, le Trojan.Mayachok.17727 sauvegarde sur le disque le fichier de configuration codé où se trouve une liste de serveurs distants, intégrée aux scripts des pages web.

A la différence du Trojan.Mayachok.1, la nouvelle version a considérablement changé : l'option de vérification de la présence d’outils virtuels dans le système infecté a été supprimée, le nombre de processus pris en compte ainsi que le mécanisme de leur comparaison ont été modifiés, la fonction de vérification de l'intégrité du fichier de configuration a également été supprimée. Il est à noter que le Trojan.Mayachok a été l’un des premiers trojans capable d'infecter le VBR (Volume Boot Record), mais cette technique n'a pas été inventée par les auteurs de ce trojan, elle a été empruntée chez d'autres pirates. Doctor Web a notamment déjà détecté le même principe dans un trojan bancaire, Trojan.Carberp.