Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Retour aux actualités

Un Trojan.winlock menace ses victimes avec des images volées à la webcam

Le 20 novembre 2012

Doctor Web a analysé un des plugins du Trojan.Gapz.1, possédant une technique spéciale d’infection de Windows. Les résultats de l’étude montrent que ce plugin est un trojan.winlock capable d'intercepter les images depuis la webcam du PC.

Comme le Trojan.Winlock.7372, dont nous avons signalé la propagation auparavant, le trojan Trojan.Winlock.7384 ne conserve pas les images et les textes : il utilise un fichier XML pour bloquer Windows, dont le contenu est téléchargé depuis un serveur distant.

Une fois lancé sur la machine infectée, le Trojan.Winlock.7384 décode son propre fichier de configuration, dans lequel figure une liste des systèmes de paiement et des pays dans lesquels fonctionne le trojan. Dans la plupart des cas, ce sont les systèmes Ukash, Moneypack et Paysafecard.

Ensuite, en fonction du PC, le programme malveillant génère un numéro unique d’identification et l’envoie au serveur distant avec d’autres informations sur le PC infecté. En réponse, le Trojan.Winlock.7384 obtient des informations WHIOS sur l’adresse IP du PC infecté, parmi lesquelles le pays où il se trouve. Ensuite, le trojan vérifie si le trojan fonctionne dans le pays de l’utilisateur et bloque le PC uniquement s’il se trouve au Canada, en Espagne, en Allemagne, en France, en Italie, au Portugal, en Autriche, en Suisse, en Grand Bretagne, en Australie ou aux Etats-Unis. Après cette vérification géographique, le Trojan.Winlock.7384 envoie une nouvelle demande au serveur et reçoit une confirmation d’enregistrement du bot sur le serveur. Ensuite, il reçoit plusieurs fichiers XML avec un texte et une image dans la langue du pays.

screen

Le Trojan.Winlock.7384 est capable d'intercepter l’image de la webcam du PC et de l’afficher dans la fenêtre bloquant le PC afin de faire peur à l'utilisateur. Le message est soi-disant envoyé de la part d’institutions d’Etat et précise que tout est enregistré, y compris la photo récupérée depuis la webcam, et que tout sera ensuite utilisé pour identifier l'utilisateur.

Pour débloquer le PC, le trojan demande d’entrer le code inscrit sur la preuve de paiement d'un des systèmes de paiement proposés (la somme demandée est de 100 EUR ou de 150 USD). Le code introduit est vérifié par les malfaiteurs.

screen

Les études menées au sein de Doctor Web ont démontré que les malfaiteurs créent de plus en plus de winlock complexes avec de plus en plus de fonctions.

Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web

Expérience dans le développement depuis 1992

Les internautes dans plus de 200 pays utilisent Dr.Web

L'antivirus est fourni en tant que service depuis 2007

Support 24/24

© Doctor Web
2003 — 2019

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg