13.12.2012 НовостиСпециалисты компании «Доктор Веб» провели анализ одного из плагинов, устанавливаемых на инфицированный компьютер троянцем Trojan.Gapz.1. Как показали результаты исследования, за плагином скрывается троянец-блокировщик, способный перехватывать изображение с подключенной к зараженному ПК Web-камеры. Как и в случае с троянцем Trojan.Winlock.7372, блокировщик, добавленный в вирусные базы компании под именем Trojan.Winlock.7384, не хранит в себе графических изображений и текстов: вместо этого для формирования содержимого блокирующего Windows окна он использует файл в формате XML, получаемый с удаленного управляющего сервера. Запустившись на зараженной машине, Trojan.Winlock.7384 расшифровывает собственный конфигурационный файл, в котором описано, с какими странами и платежными системами работает этот троянец. В основном это ваучерные системы Ukash, Moneypack и Paysafecard. Затем на основании аппаратной конфигурации ПК вредоносная программа генерирует уникальный идентификационный номер и отправляет его на удаленный командный сервер вместе с другой информацией об инфицированном компьютере. В ответ Trojan.Winlock.7384 получает WHOIS-информацию об IP-адресе зараженного ПК, в которой среди прочего обозначено местоположение жертвы. Получив указанные сведения, троянец сверяет эти данные с хранящимся в своем конфигурационном файле списком стран и блокирует компьютер только в том случае, если инфицированная машина располагается в Канаде, Испании, Германии, Франции, Италии ...
читать далее.