Эксперты австрийской ИБ-компании Emsisoft обнаружили троянскую Windows-программу, которая подменяет настройки DNS, накрепко привязывая браузер к стандартной странице с требованием выкупа. Зловред, получивший название Linkup, также загружает и запускает высокопроизводительное приложение, предназначенное для генерации ProtoShares (PTS) — альтернативной криптовалюты, созданной по образу и подобию Bitcoin.

После запуска Linkup копирует себя в директорию %AppData%\Microsoft\Windows под вводящим в заблуждение именем svchost.exe. Для идентификации своего присутствия в системе троянец создает мьютекс tnd990r или tnd990s и устраняет возможные помехи, отключая ряд сервисов системной защиты и брандмауэр. Утвердившись на зараженном компьютере, Linkup сообщает на командный сервер свой ID, версию Windows и язык, который использует владелец системы, а в ответной команде получает IP-адрес веб-сайта с вымогательской страницей. Все данные, которыми зловред обменивается с C&C, шифруются.

С этого момента при отправке любого HTTP-запроса жертве заражения будет отображаться страница с поддельным уведомлением о якобы совершенном ею правонарушении — просмотре запрещенного контента. Чтобы закрепить редирект, Linkup производит модификации в системном реестре (подменяет адрес NS-сервера) и обновляет настройки сетевых компонентов, чтобы изменения сразу вступили в силу.

Для разблокировки доступа к Интернету мошенники от имени официального органа (на приведенном Emsisoft скриншоте это Совет Европы) прежде всего предлагают жертве подтвердить личность, введя в форму имя, фамилию, дату рождения и предпочтительный метод оплаты. Пользователя заверяют, что «штраф» составит лишь 0,01 евро, однако у экспертов возникли справедливые сомнения в том, что вымогатели ограничатся столь ничтожной суммой. В любом случае Emsisoft не рекомендует жертвам заражения идти на поводу у шантажистов, тем более сообщать им персональные данные.

Linkup получает с C&C еще одну команду — на загрузку и запуск файла pts2.exe. Как обнаружили эксперты, его содержимым является даунлоудер, который, в свою очередь, загружает самораспаковывающийся RAR-архив со скриптами и исполняемым PE-файлом. Последний содержит jhProtominer — специализированное приложение, предназначенное для генерации ProtoShares. По свидетельству Emsisoft, загружаемый Linkup майнер работает только на 64-битных платформах; вполне возможно, что дополнительный функционал в данном случае — всего лишь проба пера и в дальнейшем появятся и 32-битные версии jhProtominer.

На миниатюре представлен скриншот, опубликованный на TechCrunch.com.

Категории: Вредоносные программы