Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Retour aux actualités

Doctor Web annonce l’apparition d’une nouvelle modification du Trojan.Mayachok

Le 27 septembre 2012

Une nouvelle modification du programme malveillant Trojan.Mayachok, a été mise en lumière. Sa signature a été ajoutée aux bases virales sous le nom de Trojan.Mayachok.17727.

Début septembre, les spécialistes de Doctor Web ont détecté une baisse importante (de 31%) des infections par le Trojan.Mayachok.1, cette menace étant restée en tête des infections jusqu’à fin août.

graph

Les analystes de Doctor Web pensent que cette baisse est justement liée à l'apparition d'une nouvelle version du trojan : Trojan.Mayachok.17727. Son code malveillant a subi de fortes modifications afin que son fonctionnement soit encore plus invisible pour les utilisateurs. Ainsi, le dropper Trojan.Mayachok.17727 ne provoque pas de charge excessive sur le PC lors de l’infection, qui reste complètement invisible pour l’utilisateur.

Le trojan contient deux composants : un dropper et une bibliothèque dynamique, celle-ci portant le contenu malveillant du trojan. Le dropper crée un dossier IntMayak dans %MYDOCUMENTS%, dans lequel il sauvegarde temporairement la bibliothèque du trojan et un fichier REG- permettant d’enregistrer la bibliothèque dans le système. Ensuite, le dropper cherche en mémoire le processus explorer.exe et y intègre le code malveillant. En utilisant ce code et sous le nom de processus explorer.exe, le trojan sauvegarde une copie de la bibliothèque malveillante dans %SYSTEM32% . Avec l’éditeur de base de registre, le Trojan.Mayachok.17727 importe le fichier REG en modifiant la branche du registre relative à l'intégration de la bibliothèque dans tous les processus. Enfin, le dropper supprime les fichiers temporaires et le dossier IntMayak, et pour cacher sa technique de pénétration dans le système, il supprime également les cookies et le cash du navigateur Microsoft Internet Explorer.

La bibliothèque malveillante est compatible avec Microsoft Internet Explorer, Opera, Mozilla Firefox, Google Chrome. Lors de son fonctionnement, le Trojan.Mayachok.17727 sauvegarde sur le disque le fichier de configuration codé où se trouve une liste de serveurs distants, intégrée aux scripts des pages web.

A la différence du Trojan.Mayachok.1, la nouvelle version a considérablement changé : l'option de vérification de la présence d’outils virtuels dans le système infecté a été supprimée, le nombre de processus pris en compte ainsi que le mécanisme de leur comparaison ont été modifiés, la fonction de vérification de l'intégrité du fichier de configuration a également été supprimée. Il est à noter que le Trojan.Mayachok a été l’un des premiers trojans capable d'infecter le VBR (Volume Boot Record), mais cette technique n'a pas été inventée par les auteurs de ce trojan, elle a été empruntée chez d'autres pirates. Doctor Web a notamment déjà détecté le même principe dans un trojan bancaire, Trojan.Carberp.

Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web
Expérience dans le développement depuis 1992
Les internautes dans plus de 200 pays utilisent Dr.Web
L'antivirus est fourni en tant que service depuis 2007
Support 24/24

Dr.Web © Doctor Web
2003 — 2020

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg