Программное обеспечение, Web технологии и Интернет
  •  Email RSS
  • RSS
  • Facebook
  • Twitter

ВИНЛОКЕРЫ ТАКИЕ ВИНЛОКЕРЫ

Впервые они появились в конце 2007 года. В простейшем случае после загрузки ОС или даже до нее (встречались и такие экземпляры) показывалось красивое окошечко с требованием отправить каким-либо способом энную сумму злоумышленникам в обмен на код разблокировки. Общий совет от сотрудников антивирусных компаний — ничего не платите! Время

«честных» винлокеров, содержащих в себе функционал автоудаления по коду, давно прошло, и сейчас эту нишу киберпреступности облюбовали детишки с непомерными амбициями.

Многочисленные форумы запестрели постами с генераторами и исходными кодами локеров. Вот, например, одна поделка

(см. рис. выше), на которую невозможно смотреть без смеха, — Winlock by DragonGang. Размер шедевра потрясает воображение — целых семь метров! Написан в среде Delphi 7. Код разблокировки 141989081989 хранится в исполняемом файле в открытом виде. Есть мнение, что текст намеренно написан в стиле незабвенного Джамшута и автор за счет этого пропиарился на весь интернет (в том числе и в этой статье).

А пока школьники окучивают славянскую аудиторию, «коммерсанты» от мира троянов наводняют винлокерами зарубежье. Даже появился специальный термин — мультилокер. Это такой локер, который изначально не содержит в себе никаких ресурсов — надписей, картинок и прочего, а загружает их с командного центра злоумышленников, при этом скачиваемое содержимое зависит от страны, которая определяется по IP-адресу. Основная тематика мультилокеров — обвинение пользователя в просмотре порнографических материалов с участием несовершеннолетних, сами знаете — с этим за рубежом строго. При этом в качестве доказательства жертве демонстрируются якобы просмотренные ею снимки, а также имена, даты рождения и место проживания несовершеннолетних, изображенных на фото. Последние разработки учли массовое распространение ноутбуков, которые почти всегда имеют встроенную веб-камеру: пользователя снимают и затем демонстрируют фото, что еще больше усиливает эффект присутствия Большого Брата, то есть слежки со стороны ФБР или еще какой правоохранительной организации. Или вот фишка — сканирование истории посещенных сайтов в браузере. Не секрет, что большинство мужского населения мира периодически, кхм, любуются на голых женщин из интернетов. Поэтому, когда у пользователя на экране появляется заставка о штрафе с символикой Интерпола и перечнем посещенных «злачных» мест интернета, у него не возникает даже тени сомнения в том, что это взаправду.

Таким образом, рынок винлокеров сегментировался: с одной стороны выступают скрипткидисы с кулхацкерами, с другой — «ветераны» троянописательства, пишущие мультилокеры на манер ботсетей с собственными центрами управления.

Один из наиболее сложных и высокопрофессионально написанных буткитов Gapz также имеет в своем арсенале вредоносных модулей локер. Компонент с таким функционалом проверяет по IP-адресу местонахождение зараженного компьютера, и если жертва живет в Западной Европе или Америке, то система блокируется и выводится окно с требованием перевести определенную сумму на указанный счет. Отличает этот локер то, что он перехватывает изображение с подключенной к зараженному компьютеру веб-камеры и показывает его в окне с требованием оплаты (не зря у меня камера изолентой заклеена. Я серьезно. — Прим. ред.).

Особняком стоят локеры, которые блокируют доступ не к операционной системе, а к каким-либо популярным ресурсам из браузера. В апреле зафиксирован шквал запросов от пользователей о невозможности входа на сайты «ВКонтакте», «Одноклассники» и Mail.ru. Вместо соответствующих интернет-ресурсов в окне браузера демонстрировались вебстраницы с сообщением о том, что профиль пользователя заблокирован в связи с подозрением на взлом аккаунта, и предложением ввести свой номер телефона. После ввода номера в SMS приходит код, который пользователь опять-таки посредством SMS должен подтвердить. По факту за отправку этого SMS снимается энная сумма денег. В ходе разбирательств было установлено, что все это — проделки малвари, заменяющей системный файл rpcss.dll на свой вредоносный код. ESET определяет эту угрозу как Win32/Patched.IB. Запущенный зловред подменяет DNS-запросы, возвращая IP подконтрольных злоумышленникам серверов, содержащих веб-страницы, имитирующие целевой ресурс — vk.com, odnoklassniki.ru, mail.ru. При этом в адресной строке браузера отображается правильный

URL. Корректного метода лечения для всех многочисленных модификаций

Win32/Patched.IB у большинства антивирусных продуктов на момент написания статьи нет. Для лечения вручную необходимо взять чистую rpcss.dll, загрузиться с LiveCD и заменить ей вредоносную библиотеку. Оригинальная rpcss.dll должна соответствовать версии, разрядности и установленным сервис-пакам установленной Windows (Patched.IB успешно работает как в XP, так и в Seven, в том числе x64).

Среди других угроз подобного типа можно отметить появление очередной модификации трояна семейства Mayachok. По информации антивирусных аналитиков Dr.Web, Trojan.Mayachok.18607 представляет собой совершенно самостоятельный вариант, написанный «по мотивам». В качестве примера для подражания была взята логика трояна Mayachok.1, который получил широкое распространение во второй половине 2011 года. В настоящее время в ходу версия Trojan.Mayachok.2, имеющая функции буткита. Характерная черта семейства Trojan.Mayachok — использование веб-инжектов.

Подписаться на рассылку RSS !   Подписаться на рассылку RSS по Email !

Категории: Безопасность

Файлообменник без регистрации

Несведущие люди могут думать о том, что Интернет — это [...]

Как заработать деньги на форуме?

Сейчас можно легко заработать на форуме. Этот метод заработка доступен [...]

"Киевстар" рассказал об успехах

  Украинскому оператору связи «Киевстар» по итогам II квартала удалось [...]

Twitter снова купил рекламный стартап

Руководство Twitter завершило сделку по приобретению рекламного стартапа, который носит [...]

Системы электронных платежей

Существует очень большое количество сервисов, которые помогают перевести средства через [...]

Яндекс прощается с рейтингом блогов

Поиск по блогам Яндекса прекратил поддержание рейтинга блогеров и блогхостингов, [...]

Бразильский интернет станет безопаснее

Парламент Бразилии внес законопроект о безопасности интернета, работу над которым [...]

Баннерная реклама в Интернете

В интернете существует множество видов рекламы, одним из этих видов [...]