Специалисты обнаружили новую троянскую программу Winlock

Недавно сотрудники компании «Доктор Веб» предоставили информацию о появлении и распространении в компьютерной сети нового блокировщика-трояна из хорошо известного семейства Trojan. От остальных представителей семейства эта вредоносная программа отличается отсутствием в ней графической и текстовой информации.

Эта информация загружается непосредственно на «пораженный» компьютер через сеть. Программа получила название Trojan.Winlock.7372, а в качестве основной мишени выбрала иностранных пользователей Интернета. Впервые винлоки появились еще осенью в 2011 году, они также, как и новый троянец, были расчитаны преимущественно на зарубежных любителей Интернета, хотя первоначально испробовали этот метод заработка в сети злоумышленники России. Не смотря на то, что вредоносная программа рассчитана на поражение компьютеров за рубежом, есть основание полагать, что именно наши соотечественники приложили усилия к ее разработке. В сети новый троянц распространяется с помощью семейства троянских программ BackDoor.Umbra. Не смотря на схожесть внутреннего строения, этот троянец (Trojan.Winlock.7372) коренным образом отличается от своих предшественников-вымогателей. Основное отличие – отсутствие каких-либо графических или текстовых компонентов, применяемых другими программами этого семейства для демонстрации на мониторах при выводе из строя Windows. При поражении компьютера Trojan.Winlock.7372 экран компьютера совершенно не предвещает опасности, пока все нужные поражающие элементы загружаются с удаленного внешнего сервера. Схема действия троянца следующая – он вписывает себя системный реестр, функция которой заключается в автоматической активации работы программ.

Обосновавшись на новом месте программа активирует каскад поиска и остановки большинства приложений и утилит. К ним относятся такие браузеры как Internet Explorer, Opera, Firefox, Google Chrome а также блокируется работа Блокнота, Диспетчера задач, Командной строки и пр. Кроме того, новый Троян отключает брандмауэр на зараженном компьютере, используя редко применяемые методики. После всех вышеописанных процессов Trojan.Winlock.7372 с помощью невидимого полноэкранного окна производит загрузку веб-страницы с определенного сайта, принадлежащего злоумышленникам. Информация на странице предлагает за оплату разблокировать операционную систему. Сумма, которую требуют вредители у владельца поврежденного компьютера, колеблется в районе 200 долларов. После внесения оплаты пострадавший вводит определенный код, который по сети передается на сервер злоумышленников. При этом новый Trojan.Winlock.7372 имеет целую систему управления сетью Троянов, которая дает возможность ее «владельцам» прослеживать распространение программы в сети и корректировать настройки.



Опубликовал admin
21 Ноя, Среда 2012г.



Программирование для чайников.