Доктор Веб: Trojan.Winlock краде дані про банківські картки

14:46 / 13 Июля, 2011 14:46 / 13 Июля, 2011   Теги:   доктор Веб   ,   троян   Доктор Веб повідомляє про перший випадок появи троянця-блокувальника, що збирає дані про банківські картки

Теги: доктор Веб , троян

Доктор Веб повідомляє про перший випадок появи троянця-блокувальника, що збирає дані про банківські картки.

Перші випадки зараження шкідливими програмами сімейства Trojan.Winlock були зафіксовані ще в кінці 2007 року, а в період з листопада 2009 по лютий 2010 року їх поширення прийняло буквально епідемічний характер. По інтерфейсу і принципу дії нова модифікація троянця - Trojan.Winlock.3794 - нагадує ті самі, ранні модифікації «вінлоков», добре відомі в Росії, хіба що розрахована вона на зарубіжних користувачів.
Дана версія троянця-блокувальника, як і багато її попередниці, маскується під вбудований механізм активації операційної системи Windows XP (Microsoft Product Activation, MPA). Вікно програми, що блокує Робочий стіл Windows, повідомляє про те, що ця копія Microsoft Windows раніше вже була активована іншим користувачем, і пропонує повторити процедуру активації. У разі вибору варіанта No, I will do it later ( «Ні, я зроблю це пізніше») операційна система демонструє «синій екран смерті». Якщо ж користувач погодиться виконати повторну активацію, йому буде запропоновано ввести у відповідні поля форми реквізити банківської картки, включаючи повні дані власника, номер карти, CVV2 і навіть пін-код. Зайве говорити про те, чим саме загрожує передача зазначених відомостей в руки зловмисників.
З архітектурної точки зору троянець Trojan.Winlock.3794 реалізований досить примітивно, що характерно для всіх шкідливих програм цього сімейства. Потрапляючи в систему, він записує посилання на самого себе в відповідає за автозавантаження додатків гілці системного реєстру. В результаті блокується нормальна робота Windows як в звичайному, так і в захищеному режимі. Крім цього троянець блокує запуск будь-яких додатків операційної системи, включаючи Диспетчер завдань, відновлення системи і т. Д., Що дещо ускладнює боротьбу з ним підручними засобами.
Слід зазначити, що це - перший випадок появи троянця-блокувальника, що збирає дані про банківські картки. Нагадаємо, що раніше подібні програми-вимагачі зазвичай вимагали від користувача відправити платне SMS-повідомлення на вказаний сервісний номер або поповнити рахунок одного з російських стільникових операторів. Очевидно, що з появою Trojan.Winlock.3794 творці «вінлоков» вийшли вже на міжнародний рівень і в найближчому майбутньому можна прогнозувати появу більш витончених загроз подібного типу, включаючи троянські програми, що модифікують MBR.