Описание троянского приложения Trojan.Winlock.7384, способного подключаться в веб-камере пользователя.
Сотрудники компании «Доктор Веб» закончили анализ одного из плагинов, загружаемых на инфицированный ПК троянской утилитой Trojan.Gapz.1. В результате удалось выяснить, что за модулем скрывается типичный троян-блокировщик, способный подключаться к веб-камере пользователя.
Как и в случае с утилитой Trojan.Winlock.7372, данный вымогатель, добавленный в вирусные базы как Trojan.Winlock.7384, не использует собственных изображений и текстов: вместо этого троянское приложение формирует контент блокирующего окна при помощи файла в формате XML, который загружается с внешнего сервера.
Запустившись на инфицированном компьютере, Trojan.Winlock.7384 распаковывает собственный конфигурационный файл, содержащий информацию о том, с какими платежными системами и регионами работает вирус.
По информации специалистов, в большинстве случаев это ваучерные системы Moneypack, Paysafecard и Ukash. Далее вредоносная утилита генерирует уникальный идентификатор (на основании аппаратной составляющей ПК) и отправляет его на сервер управления вместе с другой персональной информацией об инфицированном ПК. В ответ сервер присылает WHOIS-данные об IP-адресе инфицированного компьютера с обозначением местоположения ПК.
Загрузив данные сведения, троянская программа сверяет эту информацию со списком стран в файле конфигурации. Блокировка системы происходит только в том случае, если пользователь находится в Испании, Канаде, Франции, Германии, Португалии, Италии, Швейцарии, Австрии, Австралии, Великобритании или США.
После выполнения данной проверки, Trojan.Winlock.7384 формирует и отправляет новый запрос и в ответ получает подтверждение регистрации нового бота на управляющем сервере.
В завершении, в ответе на последний запрос управляющий сервер отправляет несколько XML-файлов, при помощи которых и формируется окно блокировки операционной системы.
Отличительной особенность данной версии вымогателя является то, что он способен фиксировать изображения в веб-камеры пользователя и демонстрировать соответствующую картинку в блокирующем окне с целью запугивания пользователя. Сообщение, якобы отправленное от имени правоохранительных структур, подчеркивает, что все действия владельца ПК записываются, а его портрет, снятый при помощи его собственной камеры, храниться для дальнейшей идентификации и сбора дополнительных данных.
Для разблокировки операционной системы Trojan.Winlock.7384 требует от пользователя код ваучера платежного сервиса – данный код обычно указывается на чеке, который выдает платежный терминал при внесении денежной суммы. Введенный пользователем код отправляется на управляющий сервер и проверяется на корректность. В случае подтверждения оплаты управляющий сервер отправляет вирусу команду на разблокировку операционной системы. Стоимость разблокировки составляет обычно 150 долларов (100 евро).
Убери “троян” чем придётся, и нет проблем. Способов – миллион.
«Невежество+Трусость=Лох» – вот золотая формула заработка разработчиков этого вируса и тысяч других мошеннических программ. Покуда познания основной части пользователей Интернета будут ограничиваться «лайками» в Контактах, такие разводки будут процветать. Сгенерируй «лохам» баннер «Земля захвачена пришельцами. Заплати выкуп 150у.е. и будь свободен!» – и они заплатят!))))