Новый вирус Trojan.Winlock, блокирующий систему при помощи изменения пароля пользователя
Компания «Доктор Веб» предупреждает пользователей о появлении нового троянского приложения, блокирующего вход в Windows при помощи штатных средств операционной системы. Особенностью нового вируса, занесенного в базы как Trojan.Winlock.5729, является то, что блокировка осуществляется путем изменения пароля локального пользователя.
Ранее вирусы-вымогатели блокировали систему при помощи замены файла userinit.exe или оболочки Windows (Shell) и выводя на монитор определенный текст.
Одновременно вредоносное приложение отслеживает и блокирует старт ряда вспомогательных инструментов, таких как командная строка, Диспетчер задач, Редактор реестра и т.п. Абсолютно по другому, более простому, но довольно оригинальному пути пошли создатели Trojan.Winlock.5729.
Троянская утилита обнаружена в файле инсталляции популярного приложения Artmoney, используемого для «накрутки» определенных ресурсов в ряде компьютерных игр.
Кроме настоящего установщика Artmoney, в архив добавлены три файла: модифицированный logonui.exe с названием iogonui.exe (данный файл отвечает за вывод графического интерфейса в процессе входа пользователя в операционную систему) и два архива, в которых находятся bat-файлы.
При активации зараженного инсталлятора стартует архив с файлом password_on.bat. В файле находится ряд инструкций для проверки версии операционной системы. Если в системном разделе находится каталог c:\users\, что является признаком системы Windows Vista или Windows 7, вирус самостоятельно удаляется, если же папка не обнаружена, троянское приложение считает, что запуск произведен в ОС Windows XP.
В этой ситуации Trojan.Winlock.5729 редактирует системный реестр, заменяя при загрузке стандартный logonui.exe модифицированным файлом iogonui.exe, и изменяет пароль учетной записи для текущего пользователя и локальных учетных записей с именами «администратор», «админ», «administrator», «admin».
Если пользователь работает с ограниченной учетной записью, работа вируса завершается. Password_off.bat (второй bat-файл) возвращает в реестре стандартное значение UIHost и удаляет все пароли.
Утилита iogonui.exe представляет собой стандартный файл аутентификации logonui.exe из дистрибутива Windows XP, в котором при помощи редактора ресурсов был отредактирован текст стандартной строки приветствия Windows XP на просьбу отправить платное SMS-сообщение.
Таким образом, осуществив перезагрузку или выход из системы, пользователю уже не удастся войти в свою учетную запись, поскольку все пароли были изменены.
Сигнатура данного вируса уже добавлена в антивирусные базы. Для входа в систему можно использовать пароль «Спасибо», после чего Trojan.Winlock.5729 сбросит пароли пользователей. Также можно отредактировать параметр UIHost в ветке HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon – правильное значение logonui.exe.
Просмотров: 7814
Похожие статьи
Комментарии
Да уж, спасибо за информацию. Очень приятная новость((((
Написать комментарий
Облако тегов
- AdSense
- CMS
- CSS
- Chrome
- Dmoz
- Drupal
- Evernote
- Firefox
- ICQ
- Joomla
- Linux
- Mac OS X
- Microsoft
- Photoshop
- Sape
- Skype
- Telegram
- WebMoney
- Windows
- YouTube
- html
- iOS
- iPad
- iPhone iPad
- Антивирусные программы
- Аудит
- Блог
- Видео
- Графика
- Дизайн
- Домен
- Заработок в Интернет
- Игры
- Индексация
- Интернет магазин
- Интернет-реклама
- Конверсия
- Контекстная реклама
- Контент
- Метрика
- Мобильные приложения
- Настройка компьютера
- Облачные сервисы
- Онлайн сервисы
- Перелинковка
- Поведенческие факторы
- Поисковые запросы
- Почта Яндекс
- Роботы
- Семантическое ядро
- Спам
- Ссылки
- Статистика
- Текст
- Траст
- Трафик
- Фильтры Яндекс
- Форматы
- Хостинг
- Электронные книги
- Юзабилити
- Яндекс
- Яндекс.Деньги