Троянець шантажує жертв фотографіями з веб камери

Фахівці компанії «Доктор Веб» провели аналіз одного з плагінів, які встановлюються на комп'ютер інфікований троянцем Trojan.Gapz.1, заражающим Windows по-новому. Результати дослідження показують, що за плагіном ховається троянець-блокувальник, здатний перехоплювати зображення з підключеною до зараженого ПК веб камери.

Як і у випадку з троянцем Trojan.Winlock.7372, даний блокувальник, доданий в вірусні бази під ім'ям Trojan.Winlock.7384, не зберігає в собі графічних зображень і текстів: замість цього троянець використовує для формування вмісту блокуючого Windows вікна файл у форматі XML, одержуваний з віддаленого керуючого сервера.

Запустившись на зараженій машині, Trojan.Winlock.7384 розшифровує власний конфігураційний файл, в якому описано, з якими країнами та платіжними системами працює цей троян.

В основному це ваучерні Ukash, Moneypack і Paysafecard. Потім на підставі апаратної конфігурації ПК шкідлива програма генерує унікальний ідентифікаційний номер і відправляє його на віддалений командний сервер разом з іншою інформацією про інфікованому комп'ютері. У відповідь Trojan.Winlock.7384 отримує WHIOS-інформацію про IP-адреси зараженого ПК, в якій серед іншого позначено розташування жертви. Отримавши зазначені відомості, троянець звіряє ці дані зберігаються в своєму конфігураційному файлі списком країн і блокує комп'ютер тільки в тому випадку, якщо інфікована машина розташовується Канаді, Іспанії, Німеччини, Франції, Італії, Португалії, Австрії, Швейцарії, Великобританії, Австралії та США. Виконавши таку перевірку, Trojan.Winlock.7384 відправляє новий запит і отримує у відповідь підтвердження реєстрації бота на керуючому сервері. Нарешті, в якості відповіді на останній запит з командного центру завантажується кілька XML-файлів, на основі яких формується зображення і текст блокуючого вікна на відповідній мові.

Примітною особливістю даної версії винлока є те, що Trojan.Winlock.7384 здатний перехоплювати зображення з підключеною до зараженого комп'ютера веб камери і демонструвати її в блокувальний систему вікні з метою залякування користувача. У тексті повідомлення, написаного нібито від імені державних правоохоронних структур, згадується про те, що всі дії жертви на даному комп'ютері записуються, а її портрет, отриманий за допомогою веб камери, зберігається для подальшої ідентифікації та отримання додаткової персональної інформації.

Для розблокування комп ’ ютера троянець вимагає ввести код ваучера платіжної системи - цей код зазвичай розміщується на чеку, що видаються платіжним терміналом при внесенні якої суми. Введений жертвою код передається на належний зловмисникам керуючий сервер і перевіряється на справжність. У разі підтвердження факту оплати керуючий центр відправляє троянцу команду на розблокування комп ’ ютера. Сума, яку вимагають заплатити за цю послугу зловмисники, становить 100 євро або 150 доларів США.

Вивчення загроз, що надходять до антивірусної лабораторії компанії «Доктор Веб» останнім часом, показує, що зловмисники потроху відмовляються від створення «традиційних» винлоков з використанням стандартних «конструкторів», вдаючись до розробки все більш складних троянців-блокувальників з різноманітним функціоналом.