Навіны тэхналогій

Траянец-блакіроўшчык палохае ахвяр з выявай вэб-камеры ПК

Адмыслоўцы кампаніі «Доктар Вэб» правялі аналіз аднаго з убудоў, якія ўстанаўліваюцца на інфікаваны кампутар траянам Trojan.Gapz.1, заражающим Windows па-новаму.

Вынікі даследавання паказваюць, што за убудовай хаваецца траянец-блакіроўшчык, здольны перахопліваць малюнак з падключанай да заражанага ПК вэб-камеры.


Траянец-блакіроўшчык палохае


Як і ў выпадку з траянам Trojan.Winlock.7372, аб распаўсюдзе якога мы паведамлялі раней, гэты блакіроўшчык, даданыя ў вірусныя базы пад імем Trojan.Winlock.7384, не захоўвае ў сабе графічных малюнкаў і тэкстаў: замест гэтага траянец выкарыстоўвае для фарміравання змесціва блакіруючага Windows вокны файл у фармаце XML, які атрымліваецца з аддаленага кіраўніка сервера.

Запусціць на скампраметаванай машыне, Trojan.Winlock.7384 расшыфроўвае уласны канфігурацыйны файл, у якім апісана, з якімі краінамі і аплатнымі сістэмамі працуе гэты траянец.

У асноўным гэта ваучерные сістэмы Ukash, Moneypack і Paysafecard. Затым на падставе апаратнай канфігурацыі ПК шкоднасная праграма генеруе унікальны ідэнтыфікацыйны нумар і адпраўляе яго на выдалены камандны сервер разам з іншай інфармацыяй аб інфікаванай кампутары. У адказ Trojan.Winlock.7384 атрымлівае WHIOS-інфармацыю аб IP-адрас заражанага ПК, у якой сярод іншага пазначана месцазнаходжанне ахвяры. Атрымаўшы названыя звесткі, траянец звярае гэтыя дадзеныя з якія захоўваюцца ў сваім канфігурацыйным файле спісам краін і блакуе кампутар толькі ў тым выпадку, калі інфікаваная машына размяшчаецца Канадзе, Іспаніі, Германіі, Францыі, Італіі, Партугаліі, Аўстрыі, Швейцарыі, Вялікабрытаніі, Аўстраліі ці ЗША. Выканаўшы такую праверку, Trojan.Winlock.7384 адпраўляе новы запыт і атрымлівае ў адказ пацверджанне рэгістрацыі бота на кіраўнічай серверы. Нарэшце, у якасці адказу на апошні запыт з каманднага цэнтра загружаецца некалькі XML-файлаў, на аснове якіх фармуецца малюнак і тэкст блакіруючага вокны на адпаведным мове.

Характэрнай асаблівасцю дадзенай версіі винлока з'яўляецца тое, што Trojan.Winlock.7384 здольны перахопліваць малюнак з падключанай да заражанага кампутара вэб-камеры і дэманстраваць яе ў блакуючы сістэму акне з мэтай запалохвання карыстальніка. У тэксце паведамлення, напісанага нібыта ад імя дзяржаўных праваахоўных структур, згадваецца аб тым, што ўсе дзеянні ахвяры на дадзеным кампутары запісваюцца, а яе партрэт, атрыманы з дапамогай вэб-камеры, захоўваецца для наступнай ідэнтыфікацыі і атрымання дадатковай персанальнай інфармацыі.

Для разблакоўкі кампутара траянец патрабуе ўвесці код ваўчара аплатнай сістэмы — гэты код звычайна размяшчаецца на чэку, які выдае плацежным тэрміналам пры унясенні якой-небудзь сумы. Уведзены ахвярай код перадаецца на які належыць зламыснікам кіраўнік сервер і правяраецца на сапраўднасць. У выпадку пацверджання факту аплаты кіруючы цэнтр адпраўляе траянцу каманду на разблакіроўку кампутара. Сума, якую патрабуюць заплаціць за гэтую паслугу зламыснікі, складае 100 еўра, ці 150 долараў ЗША.