Обновленный Trojan.Winlock собирает данные банковских карт
Представители компании «Доктор Веб» сообщают, что в Интернете появилась новая модификация программы троянца-блокировщика. Данная программа ориентирована на зарубежных пользователей Windows и требует передать данные банковских карт.
Первые случаи заражения вредоносными программами семейства Trojan.Winlock были зафиксированы еще в конце 2007 г., а с ноября 2009 г. по февраль 2010 г. их распространение приняло буквально эпидемический характер.
По интерфейсу и принципу действия новая модификация троянца (Trojan.Winlock.3794) напоминает ранние модификации «винлоков», хорошо известные в России, но рассчитана на зарубежных пользователей.
Данная версия троянца-блокировщика, как и многие ее предшественницы, маскируется под встроенный механизм активации операционной системы Windows XP (Microsoft Product Activation, MPA). Окно программы, блокирующее рабочий стол Windows, сообщает о том, что данная копия Microsoft Windows ранее уже была активирована другим пользователем, и предлагает повторить процедуру активации. В случае выбора варианта «No, I will do it later» («Нет, я сделаю это позже») операционная система демонстрирует «синий экран смерти». Если же пользователь согласится выполнить повторную активацию, ему будет предложено ввести в соответствующие поля формы реквизиты банковской карты, включая полные данные владельца, номер карты, CVV2 и даже ПИН-код.
С архитектурной точки зрения троянец Trojan.Winlock.3794 реализован достаточно примитивно, что характерно для всех вредоносных программ этого семейства. Попадая в систему, он записывает ссылку на себя в отвечающей за автозагрузку приложений ветке системного реестра. В результате блокируется нормальная работа Windows как в обычном, так и в защищенном режиме. Помимо этого троянец блокирует запуск любых приложений операционной системы, включая «Диспетчер задач», «Восстановление системы» и т.д., что несколько затрудняет борьбу с ним подручными средствами.
Следует отметить, что это первый случай появления троянца-блокировщика, собирающего данные о банковских картах. Ранее подобные программы-вымогатели обычно требовали от пользователя отправить платное SMS-сообщение на указанный сервисный номер или пополнить счет одного из российских сотовых операторов.
Ознакомиться с другими новостями по данной тематике вы можете в рубрике Безопасность
По материалам E-MoneyNews