Недавно мы говорили о троянце Gapz.1, который в последнее время активно заражает компьютеры на платформе Windows. А сегодня специалистами из антивирусной лаборатории «Доктор Веб» при анализе одного из плагиновTrojan.Gapz.1 было обнаружено, что за ним скрывается троянец, который способен перехватить изображение с веб-камеры, подключенной к ПК. Троянец-блокировщик не хранит в себе текстов или каких-либо графических изображений, он просто использует файл XML-формата, который получает из удаленного сервера.
Троянец был добавлен в вирусную базу под именем Winlock.7384. На зараженном ПК он самостоятельно расшифровывает собственный конфигурационный файл с информацией о том, с какими платежными системами и странами может взаимодействовать. Как правило, это такие системы как Paysafecard, Ukash и Moneypack.
После расшифровки информации вредоносная программа на базе аппаратной конфигурации ПК создает уникальный идентификационный номер и оправляет его на удаленный управляющий сервер вместе с прочей информацией о зараженном компьютере. В ответ на данное сообщение троянец получает информацию об IP зараженного компьютера и его местоположении. После получения этих данных вредоносная программа сопоставляет их со своим списком стран и проводит блокировку зараженного ПК если он находится в Германии, Франции, Великобритании, Испании, Италии, Португалии Швейцарии, Канаде, Австрии, США или Австралии.
После завершения проверки, троянец отправляет новый запрос на удаленный сервер, откуда получает подтверждение регистрации бота на сервере управления. На инфицированный ПК загружается ряд файлов в XML формате, при помощи которых формируется текст или изображение блокирующего окна на нужном языке.
Одной из особенностей троянца Winlock.7384 является то, что он может перехватить изображение веб-камеры ПК и демонстрировать его в окне, блокирующем систему, для того, чтобы запугать пользователя. В окне блокировки появляется сообщение, которое написано якобы от имени правоохранительных органов. В нем жертве сообщается о том, что все ее действия записываются на видео, а ее фото, полученное при помощи камеры, будет сохранено для идентификации и получения дополнительной персональной информации.
Для того, чтобы разблокировать компьютер, злоумышленники просят жертву ввести код от ваучера его платежной системы. После того, как жертва вводит код, он проверяется, и в случае подтверждения оплаты (хакеры требуют 100 евро или $150), троянец получает с удаленного сервера команду разблокировать зараженный ПК.