Троян-блокировщик перехватывает изображение с веб-камеры зараженного ПК

Описание троянского приложения Trojan.Winlock.7384, способного подключаться в веб-камере пользователя.

Сотрудники компании «Доктор Веб» закончили анализ одного из плагинов, загружаемых на инфицированный ПК троянской утилитой Trojan.Gapz.1. В результате удалось выяснить, что за модулем скрывается типичный троян-блокировщик, способный подключаться к веб-камере пользователя.

Троян-блокировщик

Как и в случае с утилитой Trojan.Winlock.7372, данный вымогатель, добавленный в вирусные базы как Trojan.Winlock.7384, не использует собственных изображений и текстов: вместо этого троянское приложение формирует контент блокирующего окна при помощи файла в формате XML, который загружается с внешнего сервера.

Запустившись на инфицированном компьютере, Trojan.Winlock.7384 распаковывает собственный конфигурационный файл, содержащий информацию о том, с какими платежными системами и регионами работает вирус.

По информации специалистов, в большинстве случаев это ваучерные системы Moneypack, Paysafecard и Ukash. Далее вредоносная утилита генерирует уникальный идентификатор (на основании аппаратной составляющей ПК) и отправляет его на сервер управления вместе с другой персональной информацией об инфицированном ПК. В ответ сервер присылает WHOIS-данные об IP-адресе инфицированного компьютера с обозначением местоположения ПК.

Загрузив данные сведения, троянская программа сверяет эту информацию со списком стран в файле конфигурации. Блокировка системы происходит только в том случае, если пользователь находится в Испании, Канаде, Франции, Германии, Португалии, Италии, Швейцарии, Австрии, Австралии, Великобритании или США.

После выполнения данной проверки, Trojan.Winlock.7384 формирует и отправляет новый запрос и в ответ получает подтверждение регистрации нового бота на управляющем сервере.

В завершении, в ответе на последний запрос управляющий сервер отправляет несколько XML-файлов, при помощи которых и формируется окно блокировки операционной системы.

Отличительной особенность данной версии вымогателя является то, что он способен фиксировать изображения в веб-камеры пользователя и демонстрировать соответствующую картинку в блокирующем окне с целью запугивания пользователя. Сообщение, якобы отправленное от имени правоохранительных структур, подчеркивает, что все действия владельца ПК записываются, а его портрет, снятый при помощи его собственной камеры, храниться для дальнейшей идентификации и сбора дополнительных данных.

Для разблокировки операционной системы Trojan.Winlock.7384 требует от пользователя код ваучера платежного сервиса – данный код обычно указывается на чеке, который выдает платежный терминал при внесении денежной суммы. Введенный пользователем код отправляется на управляющий сервер и проверяется на корректность. В случае подтверждения оплаты управляющий сервер отправляет вирусу команду на разблокировку операционной системы. Стоимость разблокировки составляет обычно 150 долларов (100 евро).