Trojan.Winlock.5490 - блокировщик операционной системы


Trojan.Winlock.5490 - программа-блокировщик операционной системы, представляющая опасность в основном для французских пользователей Microsoft Windows.

Trojan.Winlock.5490 - написанный на языке Си, запускается только на персональных компьютерах с установленной операционной системой с французской локализацией. Троян обладает встроенными функциями антиотладки. В процессе загрузки он проверяет, не запущен ли его процесс в среде виртуальных машин VirtualBox, QEmu, VMWare и пр., и в случае, если присутствие виртуальной машины обнаруживается, троян прекращает свою работу.

Trojan.Winlock.5490 автоматически удаляет сам себя через неделю после установки, однако, заблокировав операционную систему, он "отстукивается" на удаленный сервер злоумышленников, передавая туда информацию об инфицированной машине, введенных жертвой номерах платежных карт, и получает в ответ команду "ок".

Trojan.Winlock.5490francuz

На компьютере жертвы, Trojan.Winlock.5490 запускает процесс

  • svchost.exe

и встраивает в него собственный код, после чего отсылает команду скрытия Панели задач Windows и останавливает все потоки процессов

  • explorer.exe и taskmgr.exe


Затем троян прописывает себя в ветвь системного реестра, отвечающую за автозагрузку приложений, и демонстрирует на экране окно, содержащее текст на французском языке с требованием заплатить 100 евро с помощью карт оплаты платежных систем Paysafecard или Ukash. Введенный жертвой номер карты отправляется на удаленный командный сервер злоумышленников. В ответ троян демонстрирует сообщение приблизительно следующего содержания:
Подождите! Платеж будет обработан в течение 24 часов.

Данная троянская программа не использует код разблокировки. Пострадавшим от ее действий пользователям рекомендуется:

  • Выполнить проверку компьютера, загрузившись с помощью Dr.Web LiveCD.
  • Также можно попытаться изменить в BIOS компьютера дату (переставив ее на несколько месяцев вперед) и проверить диски с помощью лечащей утилиты Dr.Web CureIt!.
  • Самостоятельно удалить из ветви реестра
    • Software\Microsoft\Windows\CurrentVersion\Run\

    данные о запускаемом модуле трояна.