Новый вирус Trojan.Winlock, блокирующий систему при помощи изменения пароля пользователя

Вирус для ОС WindowsКомпания «Доктор Веб» предупреждает пользователей о появлении нового троянского приложения, блокирующего вход в Windows при помощи штатных средств операционной системы. Особенностью нового вируса, занесенного в базы как Trojan.Winlock.5729, является то, что блокировка осуществляется путем изменения пароля локального пользователя.

Ранее вирусы-вымогатели блокировали систему при помощи замены файла userinit.exe или оболочки Windows (Shell) и выводя на монитор определенный текст.
Одновременно вредоносное приложение отслеживает и блокирует старт ряда вспомогательных инструментов, таких как командная строка, Диспетчер задач, Редактор реестра и т.п. Абсолютно по другому, более простому, но довольно оригинальному пути пошли создатели Trojan.Winlock.5729.

Троянская утилита обнаружена в файле инсталляции популярного приложения Artmoney, используемого для «накрутки» определенных ресурсов в ряде компьютерных игр.
Кроме настоящего установщика Artmoney, в архив добавлены три файла: модифицированный logonui.exe с названием iogonui.exe (данный файл отвечает за вывод графического интерфейса в процессе входа пользователя в операционную систему) и два архива, в которых находятся bat-файлы.

При активации зараженного инсталлятора стартует архив с файлом password_on.bat. В файле находится ряд инструкций для проверки версии операционной системы. Если в системном разделе находится каталог c:\users\, что является признаком системы Windows Vista или Windows 7, вирус самостоятельно удаляется, если же папка не обнаружена, троянское приложение считает, что запуск произведен в ОС Windows XP.

В этой ситуации Trojan.Winlock.5729 редактирует системный реестр, заменяя при загрузке стандартный logonui.exe модифицированным файлом iogonui.exe, и изменяет пароль учетной записи для текущего пользователя и локальных учетных записей с именами «администратор», «админ», «administrator», «admin».
Если пользователь работает с ограниченной учетной записью, работа вируса завершается. Password_off.bat (второй bat-файл) возвращает в реестре стандартное значение UIHost и удаляет все пароли.

Утилита iogonui.exe представляет собой стандартный файл аутентификации logonui.exe из дистрибутива Windows XP, в котором при помощи редактора ресурсов был отредактирован текст стандартной строки приветствия Windows XP на просьбу отправить платное SMS-сообщение.
Таким образом, осуществив перезагрузку или выход из системы, пользователю уже не удастся войти в свою учетную запись, поскольку все пароли были изменены.

Сигнатура данного вируса уже добавлена в антивирусные базы. Для входа в систему можно использовать пароль «Спасибо», после чего Trojan.Winlock.5729 сбросит пароли пользователей. Также можно отредактировать параметр UIHost в ветке HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon – правильное значение logonui.exe.

Просмотров: 7996

Оцените статью: 1 2 3 4 5





Комментарии

Комментарий добавил(а): Вовик Н.
Дата: 2012-03-14

Да уж, спасибо за информацию. Очень приятная новость((((

Написать комментарий




Введите код с картинки