Новая версия Trojan.Winlock адресована зарубежным пользователям14.07.2011 10:12

Компания "Доктор Веб" сообщила о появлении новой троянской программы, нарушающей нормальную работу Windows, и ориентированной, в отличие от своих предшественниц, на зарубежных пользователей ОС. Вирус требует передать злоумышленникам данные банковских карт.

Первые случаи заражения вредоносными программами семейства Trojan.Winlock были зафиксированы еще в конце 2007 года. С ноября 2009 по февраль 2010 года их распространение оказалось сверхактивным.

По интерфейсу и принципу действия новая модификация троянца - Trojan.Winlock.3794 - напоминает ранние модификации "винлоков", хорошо известные в России. Данная версия троянца-блокировщика маскируется под встроенный механизм активации Windows XP (Microsoft Product Activation). Окно программы, блокирующее рабочий стол Windows, сообщает о том, что данная копия Microsoft Windows ранее уже была активирована другим пользователем, и предлагает повторить процедуру активации. В случае выбора варианта "Нет, я сделаю это позже" операционная система демонстрирует "синий экран смерти". Если же пользователь согласится выполнить повторную активацию, ему будет предложено ввести в соответствующие поля формы реквизиты банковской карты, включая полные данные владельца, номер карты, CVV2 и пин-код.

Попадая в систему, Trojan.Winlock.3794 записывает ссылку на самого себя в отвечающей за автозагрузку приложений ветке системного реестра. В результате блокируется нормальная работа Windows как в обычном, так и в защищенном режиме. Помимо этого троянец блокирует запуск любых приложений операционной системы, включая диспетчер задач и восстановление системы.

Это первый случай появления троянца-блокировщика, собирающего данные о банковских картах. Ранее подобные программы требовали от пользователя отправить платное SMS-сообщение на указанный сервисный номер или пополнить счет одного из российских сотовых операторов. С появлением Trojan.Winlock.3794 создатели "винлоков" вышли на международный уровень и в ближайшем будущем можно ждать появления более изощренных угроз подобного типа.