Специалисты компании «Доктор Веб» провели анализ одного из плагинов, устанавливаемых на инфицированный компьютер трояном Trojan.Gapz.1.
Результаты исследования показывают, что за плагином скрывается
троян-блокировщик, способный перехватывать изображение с подключенной к
зараженному ПК веб-камеры.
Как и в случае с трояном Trojan.Winlock.7372, данный блокировщик,
добавленный в вирусные базы под именем Trojan.Winlock.7384, не хранит в
себе графических изображений и текстов: вместо этого троян использует
для формирования содержимого блокирующего Windows окна файл в формате
XML, получаемый с удаленного управляющего сервера.
По мнению специалистов «Доктор Веб», примечательной особенностью
данной версии винлока является то, что Trojan.Winlock.7384 способен
перехватывать изображение с подключенной к зараженному компьютеру
веб-камеры и демонстрировать его в блокирующем систему окне с целью
запугивания пользователя. В тексте сообщения, написанного якобы от имени
государственных правоохранительных структур, упоминается, что все
действия жертвы на данном компьютере записываются, а ее портрет,
полученный с помощью веб-камеры, сохраняется для последующей
идентификации и получения дополнительной персональной информации.
Для разблокировки компьютера троян требует ввести код ваучера
платежной системы — этот код обычно размещается на чеке, выдаваемом
платежным терминалом при внесении какой-либо суммы. Введенный жертвой
код передается на принадлежащий злоумышленникам управляющий сервер и
проверяется на подлинность. В случае подтверждения факта оплаты
управляющий центр отправляет трояну команду на разблокировку компьютера.
Сумма, которую требуют заплатить за эту услугу злоумышленники,
составляет 100 евро (или $150).
Запустившись на зараженной машине, Trojan.Winlock.7384 расшифровывает
собственный конфигурационный файл, в котором описано, с какими странами
и платежными системами работает троян.
По данным «Доктор Веб», в основном, это ваучерные системы Ukash,
Moneypack и Paysafecard. Затем на основании аппаратной конфигурации ПК
вредоносная программа генерирует уникальный идентификационный номер и
отправляет его на удаленный командный сервер вместе с другой информацией
об инфицированном компьютере. В ответ Trojan.Winlock.7384 получает
WHOIS-информацию об IP-адресе зараженного ПК, в которой, среди прочего,
обозначено местоположение жертвы. Получив указанные сведения, троян
сверяет эти данные с хранящимся в своем конфигурационном файле списком
стран и блокирует компьютер только в том случае, если инфицированная
машина располагается в Канаде, Испании, Германии, Франции, Италии,
Португалии, Австрии, Швейцарии, Великобритании, Австралии или США.
Выполнив такую проверку, Trojan.Winlock.7384 отправляет новый запрос и
получает в ответ подтверждение регистрации бота на управляющем сервере.
Наконец, в качестве ответа на последний запрос с командного центра
загружается несколько XML-файлов, на основе которых формируется
изображение и текст блокирующего окна на соответствующем языке.
«Изучение угроз, поступающих в антивирусную лабораторию компании
«Доктор Веб» в последнее время, показывает, что злоумышленники понемногу
отказываются от создания «традиционных» винлоков с использованием
стандартных «конструкторов», прибегая к разработке все более сложных
троянов-блокировщиков с разнообразным функционалом», — отметили в
компании.
По материалам пресс-релиза.
Пт Май 12, 2017 9:09 pm автор Admin
» Шифровальщик CryptXXX 3.0 обезвредили!
Пт Дек 23, 2016 11:43 pm автор Admin
» Вымогатель Kangaroo блокирует пользователям доступ к Windows
Вт Ноя 29, 2016 12:41 am автор Admin
» Microsoft заявляет, что новую 0-day уязвимость в Windows используют хакеры из Fancy Bear
Ср Ноя 02, 2016 3:05 am автор Admin
» 360 Total Security 8.8.0.1083 [Multi/Ru]
Пн Окт 24, 2016 10:06 pm автор Admin
» SecureAPlus Freemium 4.3.3 [Multi/Ru]
Пт Окт 21, 2016 11:31 pm автор Admin
» GridinSoft Anti-Malware [Multi/Ru] - антивирусная утилита!
Пн Авг 15, 2016 12:54 am автор Admin
» Новый вариант трояна Kovter маскируется под обновления для Firefox
Пт Июл 08, 2016 4:14 am автор Admin
» Эксперт представил способ похищения данных через кулер компьютера
Пт Июн 24, 2016 5:24 am автор Admin