Современные вирусы, написанные с толком, с точки зрения программирования становятся похожими на произведения искусства. Деструктивная программа BackDoor.Dande, написанная на C, будоражит воображение своими возможностями. Имея данный функционал, можно предположить, что это преднамеренный заказ на ряд систем, используемых в фармацевтике. И так, попадая с систему, скрипт проверяет установлена ли копия трояна на данном компьютере, может определить имя текущей учетной записи и версию оси. Потом, в случае если установлены ОС Windows XP/Windows Server 2003, бэкдор удаленно связывается с управляющим сервером и подгружает сам исходник трояна Trojan.PWS.Dande, а также зашифрованный конфиг. файл, после чего они дешифруются и оседают где-то в недрах системы.
BackDoor.Dande это своего рода инструмент по управлению действиями троянского модуля, т.е. скачивание, сохранение, запуск, сбор статистики в конфиге и удаление, ну и ряд других действий. Заложенные в программу алгоритмы, способны указать бэкдору рабочий управляющий сервер, в случае если какой-нибудь из них не будет функционировать. Механизм встраивания очень хорошо продуман, заражение происходит в библиотеке advapi32.dll, с которой работают все процессы в системе, что значительно облегчает саму процедуру внедрения.

Теперь про Trojan.PWS.Dande, его основная функция – похищение данных клиентской базы систем электронного заказа, которыми пользуются фармацевтические компании, ряд аптек и фирм дилеров мед. препаратов.
В пределах юрисдикции трояна находятся следующие программные продукты:

Спец. приложение «Аналит: Фармация 7.7» для 1С;
Система эл. заказа СЭЗ-2 (производитель «Аптека-Холдинг»);
Система формирования заявок (компания «Российская Фармация»);
Система эл. заказа фарм. группы «Роста»;
Программный комплекс «Катрен WinPrice» и т.д.
Какие данные перехватывает вирус:

Про ПО, установленное на компьютере;
Пароли пользователей и многое др.
Предполагается, что киберпреступников в первую очередь интересует информация о ценах и объемах поставок препаратов. Соответственно после сбора, все сведения шифруются и передаются на сервера. Получается, что данный вид троянской программы имеет узкую сферу использования, но можно сказать, что уже сейчас просматривается определенный почерк в алгоритмах таких вирусов, и уже давно не секрет, что на черном рынке частенько попадаются исходники довольно стоящих программ, которые в хитрых руках могут приобретать разные возможности и направление для поражения.
Компания Dr.Web уже позаботилась и добавила новый вирус в свои сигнатуры, для его лечения.

По описаниям ресурса Dr.Web, это:
Троянец, который крадет средства со счетов клиентов мобильных операторов, предлагая пользователям ответить на входящее СМС-сообщение.

Trojan.Mayachok.1 это файл .dll - динамически подключаемая библиотека, которая после установки загружается в адресное пространство памяти всех запущенных процессов (процесс установки заканчивается форсированной перезагрузкой компьютера), поэтому при сканировании системы антивирусом в нормальном режиме троянец часто видится пользователю как бы "сидящим внутри" различных файлов и "перемещающимся" из одного файла в другой. Может сложиться впечатление что Trojan.Mayachok.1 заражает файлы, но на самом деле это не так.

Техническая информация

Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows 'LoadAppInit_DLLs' = '00000001'
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows 'AppInit_DLLs' = '\pjjtnjk.dll'

Вредоносные функции:
Запускает на исполнение:
\logonui.exe /status /shutdown
Пытается завершить работу операционной системы Windows.
Изменения в файловой системе:
Создает следующие файлы:

Code

%TEMP%\1.1
%WINDIR%\Temp\1.1
%TEMP%\2.2
<SYSTEM32>\pjjtnjk.dll

Удаляет следующие файлы:

Code

%WINDIR%\Temp\1.1
%TEMP%\1.1
%TEMP%\2.2

Другое:
Ищет следующие окна:

Code

ClassName: 'Shell_TrayWnd' WindowName: ''
ClassName: 'StatusWindowClass' WindowName: ''

Что происходит после заражения? Чаще всего пострадавший сталкивается со следующими проблемами:

- Подменой запрашиваемых страниц на "internet.com" "Ростелеком. Канал перегружен", "Подтвердите принадлежность аккаунта" и подобных;

- Полной невозможностью выйти в интернет при помощи любого браузера, или вместо нормальной загрузки сайта открытие страниц происходит в виде, напоминающем исходный код;

- Блокировкой запуска различных программ в нормальном режиме, в безопасном, как правило всё работает.

Итак, выяснили, у нас действительно Trojan.Mayachok.1 Как лечить? Нет смысла скачивать большое количество разнообразного антивирусного софта и тратить время на многочасовые проверки в надежде что поможет хоть что-то из этого - ни одно, так другое. Такая вероятность есть, но в некоторых случаях троянец хоть и определяется антивирусом, но оказывается ему не по зубам - при следующих проверках мы видим его снова и снова. Не стоит отчаиваться, всё на самом деле очень просто:

1. Открываем редактор реестра:
нажимаем "Пуск" => "Выполнить" вписываем команду: regedit, нажимаем enter. Далее находим ветку:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
и параметр AppInit_DLLs

Смотрим значение этого параметра. Если видим запись, подобную этой:
"AppInit_DLLs" = "C:\windows\system32\tvhihgf.dll"

(кроме tvhihgf.dll имя файла может состоять семи из любых других латинских букв) - удаляем ее (имя файла запомните или запишите, чтобы потом легко его найти). Сам параметр AppInit_DLLs при этом оставляем, убираем только значение.

2. Перезагружаемся. Это обязательный момент!

3. Разыскиваем этот файл на диске - и так же удаляем. Это и есть наш Trojan.Mayachok.1.

4. Находим и удаляем созданные одновременно с tvhihgf.dll или чуть позже (смотрим по дате) файлы с расширением .tmp из каталогов C:\windows\system32 и C:\windows\SYSWOW64 (на 64 битных системах). Это резервные копии Trojan.Mayachok.1.
5. Ещё раз перезагружаемся и наслаждаемся беспрепятственным доступом к любимым сайтам.

Внимание! Перед тем как удалить любую запись в AppInit_DLLs, обязательно гуглим по ней, поскольку в этом параметре могут быть прописаны и вполне легитимные программы. Если в AppInit_DLLs перечислено несколько файлов - находим информацию по каждому, и удаляем только троянский ключ.

Для пользователей x64 разрядных систем:

Троянец находится в каталоге C:\windows\SYSWOW64

Редактор реестра, отвечающий за 32 разрядные компоненты в x64 разрядных системах находится в каталоге C:\windows\SysWOW64
Для его запуска через меню "Пуск" - "Выполнить" нужно указывать полный путь:
%SystemRoot%\SysWOW64\regedit.exe

По умолчанию на x64 разрядных системах запускается редактор из каталога C:\windows, т е отвечающий за 64 разрядные компоненты. В нем так же есть 32 битный раздел - HKLM\SOFTWARE\Wow6432Node, то есть проверять нужно в том числе ветку
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows

разновидность - trojan.mayachok.550. Принцип удаления аналогичный.