Троянец-блокировщик делает скриншот с веб-камеры и демонстрирует его пользователю

Diktator

Administrator
Команда форума
Administrator
Сообщения
3,339
Реакции
7,397
Специалисты компании «Доктор Веб» провели анализ одного из плагинов, устанавливаемых на инфицированный компьютер троянцем Trojan.Gapz.1, заражающим Windows по-новому. Результаты исследования показывают, что за плагином скрывается троянец-блокировщик, способный перехватывать изображение с подключенной к зараженному ПК веб-камеры.

Данный блокировщик, добавленный в вирусные базы под именем Trojan.Winlock.7384, не хранит в себе графических изображений и текстов: вместо этого троянец использует для формирования содержимого блокирующего Windows окна файл в формате XML, получаемый с удаленного управляющего сервера. Запустившись на зараженной машине, Trojan.Winlock.7384 расшифровывает собственный конфигурационный файл, в котором описано, с какими странами и платежными системами работает этот троянец.

В основном это ваучерные системы Ukash, Moneypack и Paysafecard. Затем на основании аппаратной конфигурации ПК вредоносная программа генерирует уникальный идентификационный номер и отправляет его на удаленный командный сервер вместе с другой информацией об инфицированном компьютере. В ответ Trojan.Winlock.7384 получает WHOIS-информацию об IP-адресе зараженного ПК, в которой среди прочего обозначено местоположение жертвы. Получив указанные сведения, троянец сверяет эти данные с хранящимся в своем конфигурационном файле списком стран и блокирует компьютер только в том случае, если инфицированная машина располагается в Канаде, Испании, Германии, Франции, Италии, Португалии, Австрии, Швейцарии, Великобритании, Австралии или США. Выполнив такую проверку, Trojan.Winlock.7384 отправляет новый запрос и получает в ответ подтверждение регистрации бота на управляющем сервере. Наконец, в качестве ответа на последний запрос с командного центра загружается несколько XML-файлов, на основе которых формируется изображение и текст блокирующего окна на соответствующем языке.

Примечательной особенностью данной версии винлока является то, что Trojan.Winlock.7384 способен перехватывать изображение с подключенной к зараженному компьютеру веб-камеры и демонстрировать ее в блокирующем систему окне с целью запугивания пользователя. В тексте сообщения, написанного якобы от имени государственных правоохранительных структур, упоминается о том, что все действия жертвы на данном компьютере записываются, а ее портрет, полученный с помощью веб-камеры, сохраняется для последующей идентификации и получения дополнительной персональной информации.

Для разблокировки компьютера троянец требует ввести код ваучера платежной системы — этот код обычно размещается на чеке, выдаваемом платежным терминалом при внесении какой-либо суммы. Введенный жертвой код передается на принадлежащий злоумышленникам управляющий сервер и проверяется на подлинность. В случае подтверждения факта оплаты управляющий центр отправляет троянцу команду на разблокировку компьютера. Сумма, которую требуют заплатить за эту услугу злоумышленники, составляет 100 евро или 150 долларов США.

Изучение угроз, поступающих в антивирусную лабораторию компании «Доктор Веб» в последнее время, показывает, что злоумышленники понемногу отказываются от создания «традиционных» винлоков с использованием стандартных «конструкторов», прибегая к разработке все более сложных троянцев-блокировщиков с разнообразными функциями.
 

illayj

Well-known member
Команда форума
Модератор
Сообщения
4,409
Реакции
8,321
Для разблокировки компьютера троянец требует ввести код ваучера платежной системы — этот код обычно размещается на чеке, выдаваемом платежным терминалом при внесении какой-либо суммы. Введенный жертвой код передается на принадлежащий злоумышленникам управляющий сервер и проверяется на подлинность. В случае подтверждения факта оплаты управляющий центр отправляет троянцу команду на разблокировку компьютера.
еще ни разу таким образом никто не разблокировал комп. В лучшем случае пользователь влетит на сумму которую требует злоумышленник. В худшем при введении якобы кода разблокировки, картинка поменяется с предложением отправить деньги еще раз.
 

iFF65

Moderator
Команда форума
Moderator
Сообщения
8,520
Реакции
26,510
Новая модификация обнаруженного ранее трояна атаковала свыше 500 серверов под управлением Linux, в том числе серверы крупных провайдеров.
Обнаружена версия троянской программы, представляющая опасность для серверов, работающих под управлением операционных систем на ядре Linux. На сегодняшний день троян атаковал уже несколько сотен серверов, среди которых имеются серверы крупных хостинг-провайдеров, сообщил отечественный антивирусный разработчик «Доктор Веб».
Троян Linux.Sshdkit.6 представляет собой динамическую библиотеку для 64-разрядных дистрибутивов Linux. После установки в систему он встраивается в процесс sshd, перехватывая функции аутентификации. После успешного ввода пользователем логина и пароля они отправляются на принадлежащий злоумышленникам удаленный сервер.
Впервые троян данного вида, Linux.Sshdkit, был обнаружен в феврале 2012 г.
В новой реализации злоумышленники внесли ряд изменений, чтобы затруднить перехват вирусными аналитиками украденных паролей. Так, был изменен метод определения адресов серверов, на которые троянец передает краденую информацию. Теперь для вычисления целевого сервера используется специальная текстовая запись, содержащая данные, зашифрованные RSA-ключом размером 128 байт.
Кроме того, вирусописатели изменили алгоритм получения троянцем команд: теперь для их успешного выполнения вредоносной программе передается специальная строка, для которой проверяется значение хеш-функции.
«Троянцы семейства Linux.Sshdkit представляют высокую опасность для серверов, работающих под управлением Linux, поскольку позволяют злоумышленникам получить данные для несанкционированного доступа на сервер», - рассказали в компании. Администраторам серверов, работающих под управлением Linux, специалисты «Доктор Веб» рекомендуют проверить операционную систему на наличие данной угрозы.
Всего в течение мая 2013 г. троянец передал на контролируемый аналитиками «Доктор Веб» управляющий узел данные для доступа к 562 инфицированным Linux-серверам, среди которых в том числе встречаются серверы крупных хостинг-провайдеров.
Подробнее:
 
Сверху