«Доктор Веб» обнаружил новый троян-блокировщик Windows
Специалисты компании «Доктор Веб» — российского разработчика средств информационной безопасности — сообщили о распространении нового трояна-блокировщика из семейства Trojan.Winlock — Trojan.Winlock.7372. От других винлоков этот троян отличается тем, что не содержит в себе каких-либо текстов или графических изображений — он загружает их на инфицированный компьютер по Сети, рассказали CNews в компании. В качестве основной цели Trojan.Winlock.7372 избрал зарубежных пользователей.
«Первые трояны-винлоки, ориентированные на зарубежных пользователей, получили распространение осенью 2011 г., а до этого данная схема криминального заработка была успешно “обкатана” злоумышленниками в России, — отметили в «Доктор Веб». — Эта вредоносная программа распространяется с использованием семейства троянов, известных как BackDoor.Umbra, и также рассчитана на распространение среди жителей зарубежья, хотя имеются основания предполагать, что разработали ее наши соотечественники».
Исходя из внутреннего строения, Trojan.Winlock.7372 ничем не напоминает других представителей троянов-вымогателей. Прежде всего, потому что, как уже упоминалось выше, не содержит в себе каких-либо изображений, текстовых ресурсов или иных компонентов, которые обычно демонстрируются подобными вредоносными приложениями на экране компьютера при блокировке Windows. Все необходимые элементы Trojan.Winlock.7372 загружает с удаленного сервера, а препятствующий работе системы экран представляет собой обычную веб-страницу, пояснили специалисты компании.
Запустившись на инфицируемом компьютере, Trojan.Winlock.7372 прописывает самого себя в ветвь системного реестра, отвечающую за автоматический запуск программ, после чего запускает бесконечный цикл поиска и остановки процессов целого ряда приложений и системных утилит. Среди них — диспетчер задач, блокнот, редактор реестра, командная строка, настройка системы, браузеры Microsoft Internet Explorer, Google Chrome, Firefox, Opera, приложения ProcessHacker, Process Monitor и некоторые другие. С применением редко используемой методики троян отключает запущенный на зараженном компьютере брандмауэр. Затем Trojan.Winlock.7372 создает невидимое полноэкранное окно, в которое загружает с принадлежащего злоумышленникам сайта веб-страницу с требованием оплатить разблокировку операционной системы.
Злоумышленники требуют у жертвы плату в размере $200, при этом подтверждающий оплату код передается на сервер вирусописателей по сети. В случае обращения к управляющему серверу в окне браузера демонстрируется предложение ввести логин и пароль для авторизации в системе управления сетью данных троянов, с помощью которой злоумышленники могут следить за распространением Trojan.Winlock.7372 и менять его настройки.
Сигнатура данной угрозы добавлена в вирусные базы, поэтому она не представляет серьезной опасности для пользователей антивирусного ПО Dr.Web.
© CNews