Новый троян-блокировщик - Trojan.Winlock.5729


Trojan.Winlock.5729 - новый троян-блокировщик, блокирующий операционную систему, используя штатные средства Windows, путем изменения пароля локальных пользователей.

Традиционно программы-вымогатели используют для блокировки входа в операционную систему специальное приложение, заменяющее собой стандартную оболочку (shell) Windows или файл userinit.exe и демонстрирующее на экране компьютера соответствующий текст. Одновременно вредоносная программа обычно отслеживает и предотвращает запуск различных вспомогательных утилит:

  • Диспетчер задач;
  • Командная строка;
  • Редактор реестра;
  • и т. д.


Trojan.Winlock.5729 действует более оригинально. Он скрывается в установочном дистрибутиве популярной программы Artmoney, предназначенной для "накрутки" различных ресурсов в компьютерных играх. Помимо реального установщика Artmoney, инсталлятор содержит три файла:

  • измененный файл logonui.exe с именем iogonui.exe (этот файл отвечает за демонстрацию графического интерфейса при входе пользователя в Windows XP);
  • два самораспаковывающихся архива, содержащих bat-файлы.


При загрузке инфицированного инсталлятора запускается первый из bat-файлов

  • password_on.bat


Данный файл содержит набор команд, выполняющих проверку операционной системы. При обнаружении на жестком диске папки

  • c:\users\


вредоносные компоненты удаляются (наличие данной папки - характерный признак ОС Windows Vista и Windows 7). При отсутствии такой папки, троян считает, что он запущен в Windows XP. В таком случае Trojan.Winlock.5729 модифицирует системный реестр, подменяя при загрузке Windows стандартный

  • logonui.exe

собственным файлом

  • iogonui.exe

и меняет пароль учетной записи Windows для текущего пользователя и локальных пользователей с именами

  • "admin", "administrator", "админ", "администратор"


Если текущий пользователь работает в ограниченной учетной записи, работа трояна прекращается.

Другой bat-файл

  • password_off.bat

удаляет все пароли и возвращает в системном реестре оригинальное значение

  • UIHost


Файл iogonui.exe представляет собой настоящий аутентичный файл logonui.exe из комплекта поставки Windows XP, в котором с помощью редактора ресурсов была изменена стандартная строка приветствия Windows на требование отправить платное СМС-сообщение.

iogonui.exe.

Таким образом, выполнив выход из системы или перезагрузку, пользователь уже не сможет осуществить вход, поскольку пароли всех учетных записей пользователей были изменены.

Pass na vhod v Windows

Если вы стали жертвой данного трояна, для входа в систему используйте пароль "Спасибо!" (без кавычек), после чего Trojan.Winlock.5729 автоматически сбросит пароли учетных записей. Если этого не произошло, можно вручную изменить значение параметра

  • UIHost

в ветви реестра

  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

на

  • logonui.exe.