Неделю назад компания «Доктор Веб» опубликовала описание руткита Trojan.Gapz.1 под Windows 32/64 bit, который отличается высоким уровнем разработки, сложностью и поддержкой плагинов.
Trojan.Gapz.1 реализует функции буткита и способен эффективно скрывать своё присутствие в инфицированной системе. При этом программа использует достаточно интересные механизмы заражения, в том числе создаёт на инфицированном ПК среды для загрузки своих основных модулей, несущих различную функциональную нагрузку. Программа использует уязвимости нескольких системных компонентов Windows и осуществляет выполнение специальным образом сформированного кода, что весьма нетипично для подобного класса угроз, говорят специалисты компании «Доктор Веб».
Фактически, руткит Trojan.Gapz.1 — ядро сложной вредоносной программы, основная задача которой заключается в том, чтобы создать подходящую среду для загрузки других компонентов троянца.
За прошедшее время эксперты Dr.Web смогли проанализировать часть бинарного образа, который подгружает программа в процессе запуска, образ состоит из нескольких модулей и блока конфигурационных данных.
Как выяснилось, один из модулей программы очень необычный. Речь идёт о блокировщике, которому присвоен идентификатор Trojan.Winlock.7384. Он проверяет по IP-адресу местонахождение заражённого компьютера, и если жертва живёт в Западной Европе или Америке, то блокирует систему и выводит окно с предложением перевести определённую сумму денег на указанный счёт.
Примечательной особенностью этого конкретного блокировщика является то, что он одновременно перехватывает изображение с подключенной к заражённому компьютеру веб-камеры и показывает его прямо в окне с требованием оплаты, в правом верхнем углу.
Естественно, это делается с целью запугивания пользователя. Текст сообщения написан с упоминанием правоохранительных органов с указанием, что портрет пользователя будет использован для передачи дела в полицию, если он не оплатит указанную сумму.