Вредоносная программа, предназначенная для осуществления веб-инжектов постороннего содержимого в просматриваемые пользователем веб-страницы.
При запуске вычисляет ID зараженной машины на основе данных об оборудовании, имени компьютера и текущего пользователя.
Копирует свой файл в папку:
C:\Users\<username>\My Documents\MyApplicationData\~backup.exe
Модифицирует реестр:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"~backup~"="C:\Users\<username>\My Documents\MyApplicationData\~backup.exe"
Прописывает путь к дропперу с целью его удаления:
"~tempbackup~"="<путь к дропперу>"
В 32-битных системах:
Запускает копию explorer.exe и встраивается в него. Находясь в explorer.exe, читает собственный файл и удаляет дроппер, если собственное имя не содержит строку "~backup". Инжекты сопровождаются модификацией файла:
C:\Users\<username>\My Documents\MyApplicationData\~backup.dat
В 64-битных системах:
Видоизменяет ветвь системного реестра, отвечающую за автоматическую загрузку приложений, запускает свой исполняемый файл и еще одну копию самого себя, после чего удаляет файл дроппера. Троянец периодически проверяет наличие двух своих копий в памяти инфицированного компьютера, а также соответствующих записей в реестре.
Определяет наличие на инфицированном компьютере антивирусных программ, проверяя имена активных процессов:
MsMpEng.exe, msseces.exe, avp.exe, dwengine.exe, dwservice.exe, ecls.exe, egui.exe, ekrn.exe, AvastUI.exe, AvastSvc.exe, avgnt.exe, avguard.exe, avshadow.exe, avgnsx.exe, avgrsx.exe, avgtray.exe, ccsvchst.exe, vba32ldr.exe, vbaScheduler.exe, Mcshield.exe, Mctray.exe, bdagent.exe, coreServiceShell.exe, uiSeAgnt.exe
а также пытается определить, не запущен ли он в виртуальной среде по именам процессов:
vmtoolsd.exe,vmacthlp.exe,vpcmap.exe,vmsrvc.exe,vmusrvc.exe
Завершив установку в инфицированной системе, Trojan.Mayachok.18607 пытается встроиться во все процессы Windows, в том числе, в процессы вновь запускаемых браузеров.
Сохраняет конфигурационный файл в папку c:\Users\<username>\Cookies\cf . Затем устанавливает соединение с управляющим сервером, отправляя запросы на несколько адресов по очереди. Получает с удаленного сервера новый конфигурационный файл, который может содержать команду загрузки исполняемого файла. Файл сохраняется в папку
C:\Users\<username>\My Documents\MyApplicationData\~dwnld.exe
и запускается на исполнение.
Помимо прочего, конфигурационный файл содержит скрипт, который троянец встраивает во все просматриваемые пользователем веб-страницы.
