Троян-блокировщик перехватывает изображение с веб-камеры зараженного ПК


Описание троянского приложения Trojan.Winlock.7384, способного подключаться в веб-камере пользователя.

Сотрудники компании «Доктор Веб» закончили анализ одного из плагинов, загружаемых на инфицированный ПК троянской утилитой Trojan.Gapz.1. В результате удалось выяснить, что за модулем скрывается типичный троян-блокировщик, способный подключаться к веб-камере пользователя.


Троян-блокировщик

Как и в случае с утилитой Trojan.Winlock.7372, данный вымогатель, добавленный в вирусные базы как Trojan.Winlock.7384, не использует собственных изображений и текстов: вместо этого троянское приложение формирует контент блокирующего окна при помощи файла в формате XML, который загружается с внешнего сервера.

Запустившись на инфицированном компьютере, Trojan.Winlock.7384 распаковывает собственный конфигурационный файл, содержащий информацию о том, с какими платежными системами и регионами работает вирус.

—————————————————————————-

Знакомьтесь: обучающий курс на тему качественной защиты компьютера от вирусов, троянов и хакерных атак – «Киберсант Оборона». Ведь чем больше ты умеешь сам, тем меньше ты платишь специалистам по ремонту компьютеров и восстановлении операционной системы компьютера. Это логично.

—————————————————————————

По информации специалистов, в большинстве случаев это ваучерные системы Moneypack, Paysafecard и Ukash. Далее вредоносная утилита генерирует уникальный идентификатор (на основании аппаратной составляющей ПК) и отправляет его на сервер управления вместе с другой персональной информацией об инфицированном ПК. В ответ сервер присылает WHOIS-данные об IP-адресе инфицированного компьютера с обозначением местоположения ПК.

Загрузив данные сведения, троянская программа сверяет эту информацию со списком стран в файле конфигурации. Блокировка системы происходит только в том случае, если пользователь находится в Испании, Канаде, Франции, Германии, Португалии, Италии, Швейцарии, Австрии, Австралии, Великобритании или США.




После выполнения данной проверки, Trojan.Winlock.7384 формирует и отправляет новый запрос и в ответ получает подтверждение регистрации нового бота на управляющем сервере.

В завершении, в ответе на последний запрос управляющий сервер отправляет несколько XML-файлов, при помощи которых и формируется окно блокировки операционной системы.

Отличительной особенность данной версии вымогателя является то, что он способен фиксировать изображения в веб-камеры пользователя и демонстрировать соответствующую картинку в блокирующем окне с целью запугивания пользователя. Сообщение, якобы отправленное от имени правоохранительных структур, подчеркивает, что все действия владельца ПК записываются, а его портрет, снятый при помощи его собственной камеры, храниться для дальнейшей идентификации и сбора дополнительных данных.

Для разблокировки операционной системы Trojan.Winlock.7384 требует от пользователя код ваучера платежного сервиса – данный код обычно указывается на чеке, который выдает платежный терминал при внесении денежной суммы. Введенный пользователем код отправляется на управляющий сервер и проверяется на корректность. В случае подтверждения оплаты управляющий сервер отправляет вирусу команду на разблокировку операционной системы. Стоимость разблокировки составляет обычно 150 долларов (100 евро).

для Вас Natali002

Автор: Светлана Козлова

Серия сообщений "компьютер":
Часть 1 - Если компьютер стал тормозить. Советы
Часть 2 - Компьютер стал тормозить Надоели частые "зависания" системы?
Часть 3 - Восстановление системы windows 7
Часть 4 - БЕСПЛАТНЫЕ ПРОГРАММЫ "Windows"
Часть 5 - Троян-блокировщик перехватывает изображение с веб-камеры зараженного ПК
Часть 6 - Как восстановить клавиатуру, облитую жидкостью?
Часть 7 - Компьютерная помощь > Как подключить телевизор к компьютеру
...
Часть 28 - Что делать, если модем не подключается автоматически?
Часть 29 - Как раздавать Интернет с домашнего ПК на ноутбук?
Часть 30 - Осторожно: из-за уязвимости в антивирусе можно лишиться денег с карты. Предупредите друзей и знакомых об опасности.