Троянцы этого семейства уже насчитывают порядка 1500 различных модификаций, причем некоторые из них являются самыми распространенными на компьютерах пользователей по статистике Dr.Web. Trojan.Mayachok.18607 позволяет встраивать в просматриваемые пользователями веб-страницы постороннее содержимое, благодаря чему злоумышленники получают возможность зарабатывать на жертвах этой вредоносной программы, подписывая их на различные платные услуги.

В процессе изучения архитектуры троянца Trojan.Mayachok.18607 у вирусных аналитиков «Доктор Веб» сложилось впечатление, что автор попытался переписать код этой вредоносной программы «с чистого листа», опираясь на логику семейства Trojan.Mayachok. То есть, не исключено, что у популярных среди злоумышленников троянцев семейства Trojan.Mayachok появился новый автор.

Trojan.Mayachok.18607 способен инфицировать как 32-разрядные, так и 64-разрядные версии ОС Windows. В момент запуска троянец вычисляет уникальный идентификатор зараженной машины, для чего собирает информацию об оборудовании, имени компьютера и имени пользователя, после чего создает свою копию в папке MyApplicationData. Затем троянец модифицирует системный реестр с целью обеспечения автоматического запуска собственной копии.

В 32-разрядных версиях Windows Trojan.Mayachok.18607 встраивается в предварительно запущенный процесс explorer.exe, после чего пытается встроиться в другие процессы. В архитектуре вредоносной программы предусмотрен механизм восстановления целостности троянца в случае его удаления или повреждения. В 64-разрядных версиях Windows троянец действует несколько иначе: Trojan.Mayachok.18607 видоизменяет ветвь системного реестра, отвечающую за автоматическую загрузку приложений, запускает свой исполняемый файл и еще одну копию самого себя, после чего удаляет файл дроппера. Троянец периодически проверяет наличие двух своих копий в памяти инфицированного компьютера, а также соответствующих записей в реестре.

Основное предназначение Trojan.Mayachok.18607 заключается в осуществлении так называемых веб-инжектов: при открытии различных веб-страниц вредоносная программа встраивает в них постороннее содержимое. Под угрозой находятся браузеры Google Chrome, Mozilla Firefox, Opera и Microsoft Internet Explorer нескольких версий, включая последние. Пользователь зараженной машины при открытии некоторых популярных интернет-ресурсов может увидеть в окне обозревателя оригинальную веб-страницу, в которую троянец встраивает постороннее содержимое. Проверка системного файла hosts, в который некоторые троянцы вносят изменения (что может служить одним из признаков заражения), также не принесет должного результата: Trojan.Mayachok.18607 не модифицирует данный файл.

После ввода номера мобильного телефона пользователь оказывается подписан на услуги веб-сайта http://vkmediaget.com, стоимость подписки составляет 20 рублей в сутки. Услуга предоставляется совместно с компанией ЗАО «Контент-провайдер Первый Альтернативный». В качестве другого метода монетизации злоумышленники используют так называемые «псевдоподписки»: с номера 6681 жертве приходит СМС с текстом «Для подтверждения ответьте DA на эту SMS.

На том же IP-адресе, где располагается сайт vkmediaget.com, платные услуги которого монетизирует троянец Trojan.Mayachok.18607, располагаются и другие интернет-ресурсы, например, odmediaget.com (для пользователей соцсети odnoklassniki.ru) — имена и оформление таких веб-страниц специально подобраны с целью ввести пользователей в заблуждение. Кроме того, на данном сервере расположен сайт mediadostupno.com, якобы предоставляющий услуги анонимайзера. Сайт используется как прикрытие для одобрения предоставляемой подписки со стороны контент-провайдера и подключения мобильных платежей.