Maya Win32 ждёт определенную дату и удаляет все файлы - Trojan Win32.Maya waits certain date and deletes all files

Антивирусные компании обнаружили вредоносную программу, которую и трояном сложно назвать. Это простейший BAT-файл, преобразованный в EXE с через утилиты BAT2EXE.

   Инструкции у программы тоже весьма просты и понятны: она проверяет текущую дату для компьютере, и когда та совпадает с одной из дат во встроенном списке, то список посредством 50 минут стирает все файлы для дисках с
D: сообразно I:,
а также файлы с рабочего стола.
Перечень дат:


2012/12/10-12
2013/01/21-23
2013/05/06-08
2013/07/22-24
2013/11/11-13
2014/02/03-05
2014/05/05-07
2014/08/11-13
2015/02/02-04

Впоследствии осуществления вредоносной деятельности запускается утилита chkdsk.




   Эксперты антивирусных компаний считают, что это надо ради того, дабы скрывать вирусную активность под системную ошибку.

   В классификаторе «Лаборатории Касперского» программе присвоено имя Trojan.Win32.Maya.a. Судя сообразно всему, у трояна отсутствует средств для распространения своих копий, а эксперты «ЛК» не обнаружили ни одного случая реального заражения компьютеров.

   Модель Trojan.Win32.Maya.a получен через иранского CERT. На неопытность авторов трояна «Майя» указывает и тот случай, что в комплекте с программой идёт 16-битный файл SLEEP.EXE, какой не запускается для 64-битных версиях Windows.

The anti-virus companies have found out the harmful program which and a trojan it is difficult to name. It is the elementary BAT-file transformed in EXE by means of utilityBAT2EXE.

   Instructions at the program too are very simple and clear: it checks current date on the computer and if that coincides with one of dates in the built in list the program in 50 minutes erases all files on disks with D: on I:, and also files from a desktop.

   The list of dates:
2012/12/10-12
2013/01/21-23
2013/05/06-08
2013/07/22-24
2013/11/11-13
2014/02/03-05
2014/05/05-07
2014/08/11-13
2015/02/02-04

   After realisation of harmful activity the utility chkdsk is started. Experts of the anti-virus companies consider that it it is necessary to disguise virus activity under a system error.

   In the qualifier «Kaspersky's Laboratory» to the program name Trojan is appropriated. Win32.Maya.a. Apparently, the trojan does not have means for distribution of the copies, and experts «ЛК» have not found out any case of real infection of computers. Sample Trojan.

   Win32.Maya.a it is received from Iranian CERT. "Maya" specifies in inexperience of authors of a trojan also that fact that complete with the program there is a 16-bit file SLEEP.EXE which is not started on 64-bit versions Windows.