Компанией Dr.Web объявлено о регистрации нового троянца-блокировщика в базах антивируса. Данный вредоносный код относится к семейству Trojan.Winlock и индексирован под номером 5729. Основным различием данного блокировщика является использование внутренних системных средств для замены локальных пользовательских паролей.
Ранее известные блокировщики в большей части случаев использовали псевдооболочку, заменяющей собой стандартную Windows shell, которая демонстрировала пугающий пользователей текст о нарушениях законодательства и необходимости оплаты штрафа. Кроме этого такой троянец отслеживал запуск системных утилит, которые могли помочь в ситуации.
Совершенно другие способы вредоносных действий использовали авторы Winlock.5729. Этот вирус обычно вшит в установочный дистрибутив программы накрутки ресурсов в играх, известной как Artmoney. Его инсталлятор несет три файла: iogonui.exe, нацеленный на замену logonui.exe, и два self-extract-архива, наполненных bat-файлами. Эти пакетные файлы содержат команды для проверки ОС на наличие папки users, которая присутствует, обычно у Windows Vista или 7. В данном случае троянец самоликвидируется. В том случае если такой каталог отсутствует, что характерно для Windows XP, то он начинает свою деятельность, модифицируя системный реестр, и осуществляя замену logonui.exe на вышеуказанный файл из инсталлятора. Таким образом, меняются все локальные пароли, не минуя администраторских учеток в системе. Новый экран входа содержит привычное поле для ввода пароля, и рекомендацию об отправке sms с целью получения кодового набора символов входа. Разумеется, без ввода пароля попасть в систему не возможно, даже используя безопасный режим.
Специалисты Dr.Web рекомендуют для входа ввести «Спасибо!» (только без кавычек), после чего должен произойти сброс паролей троянцем. В случае неудачи, необходимо использовать любой доступный LiveCD-диск и сделать изменения в параметре UIHost, принадлежащего записи реестра, находящийся в HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, где вернуть установленное вирусом значение на logonui.exe.
Loading ...