Le 20 novembre 2012

Doctor Web a analysé un des plugins du Trojan.Gapz.1, possédant une technique spéciale d’infection de Windows. Les résultats de l’étude montrent que ce plugin est un trojan.winlock capable d'intercepter les images depuis la webcam du PC.

Comme le Trojan.Winlock.7372, dont nous avons signalé la propagation auparavant, le trojan Trojan.Winlock.7384 ne conserve pas les images et les textes : il utilise un fichier XML pour bloquer Windows, dont le contenu est téléchargé depuis un serveur distant.

Une fois lancé sur la machine infectée, le Trojan.Winlock.7384 décode son propre fichier de configuration, dans lequel figure une liste des systèmes de paiement et des pays dans lesquels fonctionne le trojan. Dans la plupart des cas, ce sont les systèmes Ukash, Moneypack et Paysafecard.

Ensuite, en fonction du PC, le programme malveillant génère un numéro unique d’identification et l’envoie au serveur distant avec d’autres informations sur le PC infecté. En réponse, le Trojan.Winlock.7384 obtient des informations WHIOS sur l’adresse IP du PC infecté, parmi lesquelles le pays où il se trouve. Ensuite, le trojan vérifie si le trojan fonctionne dans le pays de l’utilisateur et bloque le PC uniquement s’il se trouve au Canada, en Espagne, en Allemagne, en France, en Italie, au Portugal, en Autriche, en Suisse, en Grand Bretagne, en Australie ou aux Etats-Unis. Après cette vérification géographique, le Trojan.Winlock.7384 envoie une nouvelle demande au serveur et reçoit une confirmation d’enregistrement du bot sur le serveur. Ensuite, il reçoit plusieurs fichiers XML avec un texte et une image dans la langue du pays.

Le Trojan.Winlock.7384 est capable d'intercepter l’image de la webcam du PC et de l’afficher dans la fenêtre bloquant le PC afin de faire peur à l'utilisateur. Le message est soi-disant envoyé de la part d’institutions d’Etat et précise que tout est enregistré, y compris la photo récupérée depuis la webcam, et que tout sera ensuite utilisé pour identifier l'utilisateur.

Pour débloquer le PC, le trojan demande d’entrer le code inscrit sur la preuve de paiement d'un des systèmes de paiement proposés (la somme demandée est de 100 EUR ou de 150 USD). Le code introduit est vérifié par les malfaiteurs.

Les études menées au sein de Doctor Web ont démontré que les malfaiteurs créent de plus en plus de winlock complexes avec de plus en plus de fonctions.