27 settembre 2012

Doctor Web — sviluppatore russo di software antivirale — avverte che è comparsa una nuova versione del programma malevolo pericoloso Trojan.Mayachok, la cui firma antivirale è stata aggiunta ai database Dr.Web con il nome di Trojan.Mayachok.17727.

Dall’inizio di settembre gli specialisti Doctor Web osservavano una notevole riduzione del numero di infezioni con Trojan.Mayachok.1 il quale fino alla fine di agosto occupava la posizione leader nella lista di minacce più diffuse. Il calo è veramente grande: rispetto agli indicatori della seconda metà di agosto, il numero totale di infezioni da parte di questo malware si è ridotto del 31%. Il grafico sottostante visualizza le tendenze di questo processo.

Cambio del numero di infezioni con TrojanMayachok.1

Gli analisti di Doctor Web associano queste statistiche con la comparsa di una nuova versione di Trojan.Mayachok che, a quanto pare, abbia sostituito quella precedente. Il codice della nuova versione, nominata Trojan.Mayachok.17727, è stato modificato in modo significativo, ed essa utilizza soluzioni che le permettono di nascondere ancora meglio la presenza del malware sul computer dell’utente. Per esempio, il dropper di Trojan.Mayachok.17727 non riavvia il computer nel corso di infezione, e il momento di installazione resta assolutamente invisibile per l’utente.

Il cavallo di troia consiste di due componenti: un dropper e una libreria dinamica in cui sono concentrate le principali funzioni malevole del programma. Il dropper crea nella directory %MYDOCUMENTS% una cartella nominata IntMayak, in cui mette provvisoriamente la libreria decriptata e il file REG progettato per registrare la libreria nel sistema. Quindi il dropper cerca nella memoria del computer il processo in esecuzione explorer.exe e ci inserisce il suo codice dannoso. Usando questo codice a nome del processo explorer.exe, il trojan memorizza nella directory di sistema %SYSTEM32% una copia della libreria malevola. Tramite l’editor di registro Trojan.Mayachok.17727 importa il file REG, modificando il ramo di registro che è responsabile per il caricamento della libreria malevola in tutti i processi. Di seguito il dropper rimuove i file temporanei e la cartella IntMayak, elimina cookies e ripulisce la memoria cache di Microsoft Internet Explorer per nascondere le tracce del suo inserimento nel sistema.

La libreria dinamica malevola può utilizzare i browser Microsoft Internet Explorer, Opera, Mozilla Firefox e Google Chrome. Nel corso delle sue attività, Trojan.Mayachok.17727 registra sul disco il suo file di configurazione cifrato, in cui sono memorizzati gli indirizzi dei server di comando, lo script che viene incorporato nelle pagine web viste dall’utente e altri parametri.

Rispetto a Trojan.Mayachok.1, il codice di questo cavallo di troia ha subito molte modifiche. Il trojan non controlla più se nel sistema siano presenti strumenti di virtualizzazione, è cambiato il numero di processi supportati, è stato modificato il meccanismo che confronta nomi dei processi, non vi è più la funzione che verifica l’integrità del file di configurazione. Va notato che Trojan.Mayachok è stato uno dei primi trojan che utilizzavano il metodo di infezione VBR. I creatori di questo malware non hanno sviluppato questa tecnologia, ma l’hanno acquistata da altri scrittori di virus. Per esempio, un simile codice è stato rivelato nel trojan bancario Trojan.Carberp.