rss Twitter Добавить виджет на Яндекс
Реклама:
     
 
 
 
     
     
 
 
 
     
     
 

Троянец-блокировщик пугает жертв изображением, скачанным с веб-камеры зараженного ПК

Специалисты компании «Доктор Веб» — российского разработчика средств информационной безопасности — провели анализ одного из плагинов, устанавливаемых на инфицированный компьютер троянцем Trojan.Gapz.1, заражающим Windows по-новому. Результаты исследования показывают, что за плагином скрывается троянец-блокировщик, способный перехватывать изображение с подключенной к зараженному ПК веб-камеры.

Как и в случае с троянцем Trojan.Winlock.7372, о распространении которого мы сообщали ранее, данный блокировщик, добавленный в вирусные базы под именем Trojan.Winlock.7384, не хранит в себе графических изображений и текстов: вместо этого троянец использует для формирования содержимого блокирующего Windows окна файл в формате XML, получаемый с удаленного управляющего сервера.

Запустившись на зараженной машине, Trojan.Winlock.7384 расшифровывает собственный конфигурационный файл, в котором описано, с какими странами и платежными системами работает этот троянец.

В основном это ваучерные системы Ukash, Moneypack и Paysafecard. Затем на основании аппаратной конфигурации ПК вредоносная программа генерирует уникальный идентификационный номер и отправляет его на удаленный командный сервер вместе с другой информацией об инфицированном компьютере. В ответ Trojan.Winlock.7384 получает WHOIS-информацию об IP-адресе зараженного ПК, в которой среди прочего обозначено местоположение жертвы. Получив указанные сведения, троянец сверяет эти данные с хранящимся в своем конфигурационном файле списком стран и блокирует компьютер только в том случае, если инфицированная машина располагается в Канаде, Испании, Германии, Франции, Италии, Португалии, Австрии, Швейцарии, Великобритании, Австралии или США. Выполнив такую проверку, Trojan.Winlock.7384 отправляет новый запрос и получает в ответ подтверждение регистрации бота на управляющем сервере. Наконец, в качестве ответа на последний запрос с командного центра загружается несколько XML-файлов, на основе которых формируется изображение и текст блокирующего окна на соответствующем языке.

Примечательной особенностью данной версии винлока является то, что Trojan.Winlock.7384 способен перехватывать изображение с подключенной к зараженному компьютеру веб-камеры и демонстрировать ее в блокирующем систему окне с целью запугивания пользователя. В тексте сообщения, написанного якобы от имени государственных правоохранительных структур, упоминается о том, что все действия жертвы на данном компьютере записываются, а ее портрет, полученный с помощью веб-камеры, сохраняется для последующей идентификации и получения дополнительной персональной информации.

Для разблокировки компьютера троянец требует ввести код ваучера платежной системы — этот код обычно размещается на чеке, выдаваемом платежным терминалом при внесении какой-либо суммы. Введенный жертвой код передается на принадлежащий злоумышленникам управляющий сервер и проверяется на подлинность. В случае подтверждения факта оплаты управляющий центр отправляет троянцу команду на разблокировку компьютера. Сумма, которую требуют заплатить за эту услугу злоумышленники, составляет 100 евро или 150 долларов США. 

Изучение угроз, поступающих в антивирусную лабораторию компании «Доктор Веб» в последнее время, показывает, что злоумышленники понемногу отказываются от создания «традиционных» винлоков с использованием стандартных «конструкторов», прибегая к разработке все более сложных троянцев-блокировщиков с разнообразным функционалом.

Редактор раздела: Алена Журавлева (info@mskit.ru)

Рубрики: Безопасность

Ключевые слова: Dr Web, безопасность информационных систем обеспечение безопасности, безопасность, Доктор Веб

наверх
 
 
     

А знаете ли Вы что?

     
 

ITSZ.RU: последние новости Петербурга и Северо-Запада

13.11.2024 Т2 запустил первый тариф после ребрендинга

31.10.2024 «Осенний документооборот – 2024»: взгляд в будущее системы электронного документооборота

MSKIT.RU: последние новости Москвы и Центра

NNIT.RU: последние новости Нижнего Новгорода