Обнаружена новая модификация Trojan.Mayachok

Обнаружена новая модификация Trojan.Mayachok

Компания «Доктор Веб» информирует о распространении новой модификации троянской программы семейства Trojan.Mayachok, добавленной в вирусные базы Dr.Web под именем Trojan.Mayachok.17516. Несмотря на то, что эта угроза имеет определенное сходство с широко распространенным троянцем Trojan.Mayachok.1, в ее архитектуре выявлен и ряд существенных отличий.

Trojan.Mayachok.17516 представляет собой динамическую библиотеку, устанавливаемую в операционную систему с использованием дроппера, который, являясь исполняемым файлом, в общем случае расшифровывает и копирует эту библиотеку на диск. Если в операционной системе включена функция контроля учетных записей пользователей (User Accounts Control, UAC), дроппер копирует себя во временную папку под именем flash_player_update_1_12.exe и запускается на исполнение.

В случае успешного запуска этот исполняемый файл расшифровывает содержащую троянца библиотеку и сохраняет ее в одну из системных папок со случайным именем. Существуют версии библиотеки как для 32-разрядной, так и для 64-разрядной версий Windows. Затем дроппер регистрирует библиотеку в системном реестре и перезагружает компьютер.

Вредоносная библиотека пытается встроиться в другие процессы с использованием регистрации в параметре реестра AppInit_DLLs, при этом, в отличие от Trojan.Mayachok.1, Trojan.Mayachok.17516 «умеет» работать не только в контексте процессов браузеров, но также в процессах svchost.exe и explorer.exe (Проводник Windows). Примечательно, что в 64-разрядных системах вредоносная программа работает только в этих двух процессах. Троянец использует для своей работы зашифрованный конфигурационный файл, который он сохраняет либо во временную папку, либо в служебную папку %appdata%.

Основные функции Trojan.Mayachok.17516 заключаются в скачивании и запуске исполняемых файлов, перехвате сетевых функций браузеров. С использованием процесса explorer.exe Trojan.Mayachok.17516осуществляет скрытый запуск браузеров и производит «накрутку» посещаемости некоторых интернет-ресурсов. Инфицированный процесс svchost.exe отвечает за обеспечение связи с удаленным командным сервером, а также за загрузку конфигурационных файлов и обновлений. Злоумышленникам, в свою очередь, передается информация о зараженном компьютере, в том числе версия операционной системы, сведения об установленных браузерах и т. д. Сигнатура данной угрозы добавлена в базы антивирусного ПО Dr.Web. Для пользователей программных продуктов «Доктор Веб» Trojan.Mayachok.17516 не представляет серьезной угрозы.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Обновление WinAppSDK сломало механизм деинсталляции в Windows 10

C 12 ноября ряд пользователей Windows 10 столкнулись с проблемой обновления и деинсталляции пакетных приложений вроде Microsoft Teams. Microsoft подтвердила наличие бага и отозвала обновление WinAppSDK.

Судя по всему, проблема вызвана пакетом WinAppSDK версии 1.6.2, которая автоматом установилась в системы пользователей после инсталляции приложения, разработанного с использованием Win App SDK.

На затронутых устройствах, работающих под управлением Windows 10 22H2, выводилась ошибка «Something happened on our end» в разделе «Загрузки» Microsoft Store.

«Если вы системный администратор и пытаетесь управлять приложениями через PowerShell с помощью команды “Get-AppxPackage“, система может выдать вам ошибку “Deployment failed with HRESULT: 0x80073CFA“», — объясняет Microsoft.

«Вы также можете столкнуться с проблемами обновления или переустановки Microsoft Teams и других сторонних приложений».

Корпорация пока отозвала проблемную версию WinAppSDK 1.6.2. Один из разработчиков Майк Кридер уточнил, что фикс стоит ждать с выходом WinAppSDK 1.6.3.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru