Троянець-блокувальник перехоплює зображення з підключеної до зараженого ПК web-камери

admin Новини ІТ-безпеки

Троянець-блокувальник перехоплює зображення з підключеної до зараженого ПК web-камериВикрадені зображення демонструються в блокуючому операційну систему вікні з метою залякування користувача.

Компанія «Доктор Веб» виявила нову версію трояна-блокувальника, який «вимагає» у користувачів плату в 100 євро або 150 доларів США за розблокування системи. Заразивши цільову систему вірус розшифровує власний конфігураційний файл, в якому описано, з якими країнами та платіжними системами працює цей троянець. Троян не містить в собі ніяких графічних зображень, так як для блокування зараженої системи він використовує файл у форматі XML, одержуваний з віддаленого командного сервера.

Після потрапляння на систему користувача програма генерує унікальний ідентифікаційний номер і відправляє його на віддалений командний сервер разом з іншою інформацією про інфікованому комп'ютері. Після цього шкідлива програма отримує WHOIS-інформацію про IP-адресу зараженого ПК, яка включає в себе місце розташування жертви. Блокування машини здійснюється лише в тому випадку, якщо користувач знаходиться в одній з країн зі списку, що міститься в конфігураційному файлі трояна. Зокрема, список включає в себе такі держави, як Канада, Іспанія, Німеччина, Франція, Італія, Португалія, Австрія, Швейцарія, Великобританія, Австралія чи США.

Після визначення місця розташування користувача троян отримує відповідь з командного сервера, і комп'ютер користувача реєструється на ньому в якості бота. Згодом на заражену машину завантажується ряд XML-файли, з яких створюється зображення і текст блокуючого вікна на відповідній мові.

Як зазначають в «Доктор Веб», троян наділений функцією перехоплення зображень з підключеної до зараженого комп'ютера web-камери. Викрадені зображення демонструються в блокирующем систему вікні з метою залякування користувача.

«У тексті повідомлення, написаного нібито від імені державних правоохоронних структур, згадується про те, що всі дії жертви на даному комп'ютері записуються, а її портрет, отриманий за допомогою веб-камери, зберігається для подальшої ідентифікації та отримання додаткової персональної інформації», - йдеться в повідомленні експертів антивірусної компанії.

Для того, щоб розблокувати комп'ютер жертва повинна ввести код ваучера платіжної системи, який розміщений на чеку, що виданий платіжним терміналом. Якщо жертва вводить код, його справжність перевіряється керуючим сервером.

«У разі підтвердження факту оплати керуючий центр відправляє троянцу команду на розблокування комп'ютера. Сума, яку вимагають заплатити за цю послугу зловмисники, становить 100 євро або 150 доларів США », - зазначають у «Доктор Веб».