Многокомпонентная троянская программа, блокирует доступ в Интернет на инфицированном компьютере. Основное назначение Trojan.Mayachok.1 — веб-инжекты различного содержимого в веб-страницы, открываемые в окне браузера. Поддерживаемые браузеры: Mozilla Firefox, Microsoft Internet Explorer, Opera, Google Chrome, Safari, Maxthon.
Запустившись на инфицированном компьютере, троянец создает в папке system32 библиотеку с именем, сгенерированным на основе серийного номера текущего раздела жесткого диска. Затем троянец очищает кэш браузера и вносит изменения в системный реестр Windows с целью регистрации библиотеки:
[\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] 'LoadAppInit_DLLs' = '00000001'
[\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] 'AppInit_DLLs' = ' \ %name%.dll'
После чего троянская программа перезагружает компьютер.
При запуске динамическая библиотека расшифровывает в выделяемую память исполняемый файл. Библиотека выполняет свои функции только в случае, если она загружена в процесс, импортирующий ws2_32.dll. Если библиотека загружена в процесс браузера, троянец запускает специальный поток, отслеживающий состояние родительского окна, и выполняющий веб-инжекты при изменении его заголовка. Помимо этого Trojan.Mayachok.1 предпринимает попытки загрузить с удаленных управляющих серверов новый конфигурационный файл.
