24.02.2024

Hack Pub

Новости интересные и малоизвестные из IT индустрии

Троян WinLocker пугает жертв изображением, скачанным с веб-камеры зараженного ПК

Эксперты провели анализ одного из плагинов, устанавливаемых на инфицированный компьютер троянцем Trojan.Gapz, заражающим Windows по-новому. Результаты исследования показывают, что за плагином скрывается троян-блокировщик, способный перехватывать изображение с подключенной к зараженному ПК веб-камеры.

Данный блокировщик, добавленный в вирусные базы под именем Trojan.Winlock.7384, не хранит в себе графических изображений и текстов: вместо этого троян использует для формирования содержимого блокирующего Windows окна файл в формате XML, получаемый с C&C сервера.

Запустившись на зараженной машине, Winlock расшифровывает собственный config файл, в котором описано, с какими странами и платежными системами работает этот троянец. В основном, это Ukash, Moneypack и Paysafecard. Затем на основании аппаратной конфигурации ПК вредоносная программа генерирует уникальный идентификационный номер и отправляет его на удаленный командный сервер вместе с другой информацией об инфицированном компьютере. В ответ Trojan.Winlock получает WHIOS-информацию об IP-адресе зараженного ПК, в которой среди прочего обозначено местоположение жертвы. После этого троянец сверяет эти данные с хранящимся в своем конфигурационном файле списком стран и блокирует компьютер только в том случае, если инфицированная машина располагается Канаде, Испании, Германии, Франции, Италии, Португалии, Австрии, Швейцарии, Великобритании, Австралии или США.

Выполнив такую проверку, Winlock отправляет новый запрос и получает в ответ подтверждение регистрации бота на управляющем сервере. Наконец, в качестве ответа на последний запрос с командного центра загружается несколько XML-файлов, на основе которых формируется изображение и текст блокирующего окна на соответствующем языке.

Примечательной особенностью данной версии Winlock является то, что софт способен перехватывать изображение с подключенной к зараженному компьютеру веб-камеры и демонстрировать ее в блокирующем систему окне с целью запугивания пользователя. В тексте сообщения, написанного якобы от имени государственных правоохранительных структур, упоминается о том, что все действия жертвы на данном компьютере записываются, а ее портрет, полученный с помощью веб-камеры, сохраняется для последующей идентификации и получения дополнительной персональной информации.