Вирус Trojan.Mayachok.1

Вирус Trojan.Mayachok.1. бродит по сети, берегите Ваши деньги! Компанией «Доктор Веб» был обнаружен массовый взлом веб-сайтов (более 21 000 на 31 августа 2011 года), с которых на компьютеры пользователей под видом драйверов загружается вредоносное ПО, в том числе и этот печально известный троянец.

Все взломанные сайты предлагают пользователям загрузить драйверы различных устройств. Ссылка на файл драйвера перенаправляет пользователя на промежуточный сайт, например ipurl.ru (сайт биржи трафика), а уже оттуда на другой ресурс, с которого под видом драйвера загружается троянская программа.

Вирус Trojan.Mayachok.1, блокирует нормальную работу браузеров на инфицируемом компьютере. В начале июля 2011 года атаке этой троянской программы подверглись пользователи интернет-провайдера «Ростелеком», а в августе, согласно данным статистики, он стал одной из самых распространенных угроз.

Во всех случаях при попытке открыть в браузере какой-либо сайт троянец перенаправляет пользователя на «левый сайт», показывая в окне браузера веб-страницу, предлагающую «активировать» или «подтвердить» аккаунт, указав свой номер телефона и ответив на входящее СМС-сообщение.

На сайте появлялось сообщение следующего содержания: «Канал вашего района перегружен, и мы вынуждены ограничить загрузку некоторых сайтов на время, пока канал не будет разгружен.

Если работа в сети Интернет на текущий момент для вас критична, вы можете подключить резервный канал вашего района. Чтобы подтвердить намерение и крайнюю необходимость перейти на резервный канал, ответьте на входящее СМС-сообщение».

Если ввести номер телефона и отослать СМС, со счета списываются все деньги!

Среди блокируемых троянцем сайтов замечены youtube.com, vkontakte.ru, odnoklassniki.ru, rostelecom.ru, support.akado.ru, my.mail.ru. Запустившись на инфицированном компьютере, троянец создает в каталоге system32 библиотеку с именем, сгенерированным на основе серийного номера текущего раздела жесткого диска.

Затем копирует себя во временный каталог под именем flash_player_update.exe и начинает запускать этот файл с периодичностью в 10 секунд. Затем троянец вносит изменения в системный реестр Windows и перезагружает компьютер. После этого Trojan.Mayachok.1 сохраняет в каталог C:\Documents and Settings\All Users\Application Data\cf собственный конфигурационный файл, содержащий перечень блокируемых сайтов, адреса управляющих серверов и скрипты, которые встраиваются в запрашиваемые пользователем веб-страницы.

Если вирус попал на компьютер, проведите полную проверку дисков компьютера антивирусом, установленном на компьютере, или при помощи бесплатной лечащей утилитой Dr.Web CureIt.