Специалисты компании «Доктор Веб» — российского
разработчика средств информационной безопасности — провели анализ одного
из плагинов, устанавливаемых на инфицированный компьютер троянцем
Trojan.Gapz.1, заражающим Windows по-новому.
Результаты исследования показывают, что за плагином скрывается
троянец-блокировщик, способный перехватывать изображение с подключенной к
зараженному ПК веб-камеры.
Как и в случае с троянцем Trojan.Winlock.7372, о распространении которого мы сообщали ранее, данный блокировщик, добавленный в вирусные базы под именем Trojan.Winlock.7384,
не хранит в себе графических изображений и текстов: вместо этого
троянец использует для формирования содержимого блокирующего Windows
окна файл в формате XML, получаемый с удаленного управляющего сервера.
Запустившись на зараженной машине, Trojan.Winlock.7384
расшифровывает собственный конфигурационный файл, в котором описано, с
какими странами и платежными системами работает этот троянец.
В основном это ваучерные системы Ukash, Moneypack и Paysafecard.
Затем на основании аппаратной конфигурации ПК вредоносная программа
генерирует уникальный идентификационный номер и отправляет его на
удаленный командный сервер вместе с другой информацией об инфицированном
компьютере. В ответ Trojan.Winlock.7384
получает WHOIS-информацию об IP-адресе зараженного ПК, в которой среди
прочего обозначено местоположение жертвы. Получив указанные сведения,
троянец сверяет эти данные с хранящимся в своем конфигурационном файле
списком стран и блокирует компьютер только в том случае, если
инфицированная машина располагается в Канаде, Испании, Германии,
Франции, Италии, Португалии, Австрии, Швейцарии, Великобритании,
Австралии или США. Выполнив такую проверку, Trojan.Winlock.7384
отправляет новый запрос и получает в ответ подтверждение регистрации
бота на управляющем сервере. Наконец, в качестве ответа на последний
запрос с командного центра загружается несколько XML-файлов, на основе
которых формируется изображение и текст блокирующего окна на
соответствующем языке.
Примечательной особенностью данной версии винлока является то, что Trojan.Winlock.7384
способен перехватывать изображение с подключенной к зараженному
компьютеру веб-камеры и демонстрировать ее в блокирующем систему окне с
целью запугивания пользователя. В тексте сообщения, написанного якобы от
имени государственных правоохранительных структур, упоминается о том,
что все действия жертвы на данном компьютере записываются, а ее портрет,
полученный с помощью веб-камеры, сохраняется для последующей
идентификации и получения дополнительной персональной информации.
Для разблокировки компьютера троянец требует ввести код ваучера
платежной системы — этот код обычно размещается на чеке, выдаваемом
платежным терминалом при внесении какой-либо суммы. Введенный жертвой
код передается на принадлежащий злоумышленникам управляющий сервер и
проверяется на подлинность. В случае подтверждения факта оплаты
управляющий центр отправляет троянцу команду на разблокировку
компьютера. Сумма, которую требуют заплатить за эту услугу
злоумышленники, составляет 100 евро или 150 долларов США.
Изучение угроз, поступающих в антивирусную лабораторию компании
«Доктор Веб» в последнее время, показывает, что злоумышленники понемногу
отказываются от создания «традиционных» винлоков с использованием
стандартных «конструкторов», прибегая к разработке все более сложных
троянцев-блокировщиков с разнообразным функционалом.