Перейти к содержанию
AM_Bot

Trojan.Winlock угрожает шариатским судом арабским пользователям

Recommended Posts

AM_Bot

3 февраля 2012 года

Аналитики антивирусной лаборатории компании «Доктор Веб» — российского разработчика средств информационной безопасности — зафиксировали распространение новой модификации Trojan.Winlock, угрожающей жителям арабских стран. Напомним, что троянцы этого семейства приобрели широкую известность в России в 2010 году. Позднее появились модификации Trojan.Winlock для зарубежных пользователей. В частности, совсем недавно был обнаружен Trojan.Winlock.5490, угрожающий французским пользователям Microsoft Windows.

В последнее время появилось множество версий троянцев-блокировщиков, демонстрирующих жертвам сообщения на английском, французском, немецком и других европейских языках. Как правило, они имеют различную архитектуру и разные механизмы разблокирования операционной системы: либо с помощью специально введенного кода, либо автоматически по истечении определенного промежутка времени. На их фоне Trojan.Winlock.5416 — более чем примитивная программа-вымогатель: она не располагает ни кодом разблокировки, ни механизмом проверки локали операционной системы, а потому запускается в ОС Windows с любой языковой версией интерфейса. В базах Dr.Web имеется несколько записей для троянцев этого типа, большая часть которых демонстрирует в блокирующем окне текст на немецком языке, однако одна из модификаций Trojan.Winlock.5416 имеет весьма любопытное визуальное оформление:

Trojan.Winlock.5416.png

Эта версия блокировщика выводит на экран пользователя текст на арабском языке, в котором говорится о том, что данный компьютер заблокирован в связи с просмотром порнографических сайтов и сцен насилия над детьми, что является нарушением законодательства Королевства Саудовская Аравия. Под угрозой шариатского суда пользователю предлагается заплатить 300 долларов путем покупки карты предоплаты Ucash, код которой следует ввести в окне программы-блокировщика. Данный код направляется на сайт злоумышленников (территориально расположенный в Латвии). Больше никаких деструктивных действий данный троянец не выполняет.

Следует отметить, что это — первый образец троянца-блокировщика на арабском языке, известный на сегодняшний день специалистам компании «Доктор Веб». Процедура удаления Trojan.Winlock.5416 вполне стандартна для вредоносных программ такого типа и потому не заслуживает отдельного описания. Сигнатура данной угрозы присутствует в вирусных базах Dr.Web.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
maxz

Эта новость конечно же представляет интерес для русскоязычных пользователей, да. В Др.Веб новостями и маркетингом заведуют подростки ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kolan
Эта новость конечно же представляет интерес для русскоязычных пользователей, да.

Согласен с вами. Все же Winlock'и это наша вотчина. Потом уже всякая европа и теперь вот арабский мир подтянулись.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
art

наши "ка"-кашисты могут кашмарить только мелький бизнес по заказу местного Его величества Губернатора?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • SQx
      В качестве решения, необходимо зайти на роутер и поменять домена имя с domain.name на my.router (в качестве примера или другое несуществующее имя домена).
      Но было бы не плохо в uVS логах идентифицировать такие случае.
    • SQx
      Приветствую,

      Мне тут попалась интересная тема, которая может затронуть тысячи роутеров.
      https://forum.kasperskyclub.ru/topic/84677-postojanno-vylazit-uvedomlenie-chto-ostanovlen-perehod-na-vredonosnuju-ssylku/page/3/ Как оказалось у многих роутеров указавается доменое имя по умолчанию domain.name
      Получается, что это доменное имя реальное, и оно содержит вренодоносные настройки которые Windows 7/10 автоматически подхвытывают,
      http://185.38.111.1/wpad.dat или http://wpad.domain.name/wpad.dat

      Можно ли добавить в uVS сетевое доменное имя получаемое от dhcp клиента?
    • SQx
      Приветствую Дмитрий,
      Похоже вы были правы из-за этого файла vboxnetflt.exe и возникали проблемы. После его удаление антивирус Kaspersky не ругается.
    • Andrian
      Ее можно установить дополнительно к антивирусу или она не требует установки?
    • SQx
      Дмитрий,

      Похоже я ошибся и не внимательно прочитал статью Sophos:

      Легитимная запись: "SCM Event Log Consumer" (type: NTEventLogEventConsumer) + "SCM Event Log Filter"
      Вредоносная запись : "SCM Events Log Consumer" (type: CommandLineEventConsumer) + "SCM Events Log Filter" Прошу прощения, что побеспокойл.
×