Новости Software

Новый Trojan.Winlock блокирует систему, меняя пароль пользователя

Компания "Доктор Веб" сообщила о появлении нового троянца-блокировщика, добавленного в вирусные базы под именем Trojan.Winlock.5729. Особенность этой программы-вымогателя заключается в том, что она блокирует операционную систему, используя штатные средства Windows, путем изменения пароля локальных пользователей.



Троянец скрывается в установочном дистрибутиве популярной программы Artmoney, предназначенной для «накрутки» различных ресурсов в компьютерных играх. Помимо реального установщика Artmoney, инсталлятор содержит три файла: измененный файл logonui.exe с именем iogonui.exe (этот файл отвечает за демонстрацию графического интерфейса при входе пользователя в Windows XP) и два самораспаковывающихся архива, содержащих bat-файлы. При загрузке инфицированного инсталлятора запускается первый из них, password_on.bat. Данный файл содержит набор команд, выполняющих проверку операционной системы: если на жестком диске присутствует папка c:\users\, что является характерным признаком операционной системы Windows Vista и Windows 7, вредоносные компоненты удаляются, если же такая папка отсутствует, троянец считает, что он запущен в Windows XP. В этом случае Trojan.Winlock.5729 модифицирует системный реестр, подменяя при загрузке Windows стандартный logonui.exe собственным файлом iogonui.exe, и меняет пароль учетной записи Windows для текущего пользователя и локальных пользователей с именами «admin», «administrator», «админ», «администратор». Если текущий пользователь работает в ограниченной учетной записи, работа троянца прекращается. Еще один bat-файл — password_off.bat — удаляет все пароли и возвращает в системном реестре оригинальное значение UIHost.

Файл iogonui.exe представляет собой настоящий аутентичный файл logonui.exe из комплекта поставки Windows XP, в котором с помощью редактора ресурсов была изменена стандартная строка приветствия Windows на требование отправить платное СМС-сообщение.

Таким образом, выполнив выход из системы или перезагрузку, пользователь уже не сможет осуществить вход, поскольку пароли всех учетных записей пользователей были изменены.

Если вы стали жертвой этого троянца, для входа в систему используйте пароль «Спасибо!» (без кавычек), после чего Trojan.Winlock.5729 автоматически сбросит пароли учетных записей. Если этого не произошло, можно вручную изменить значение параметра UIHost в ветви реестра HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon на logonui.exe.

Материалы по теме:

Источник:

window-new
Soft
Hard
Тренды 🔥
Первые материнские платы на AMD B650 показались в американском магазине — самая дешёвая стоит $200 8 ч.
Tesla увеличила производительность предприятия в Берлине до 2000 кроссоверов Model Y в неделю 12 ч.
Firefly Aerospace провела первый успешный орбитальный пуск ракеты Alpha 20 ч.
Соседние карликовые галактики укрылись от Млечного Пути в коконе горячего газа, выяснили учёные 01-10 18:36
Tesla резко нарастит объёмы производства Model Y и Model 3 в последнем квартале — до почти полумиллиона машин 01-10 15:25
Всего за сутки Alphabet, Amazon, Apple, Meta, Microsoft и Tesla потеряли $258 млрд рыночной стоимости 01-10 15:15
Разработчика аэротакси Joby Aviation обвинили в завышенных обещаниях — компания не сможет выпустить достаточно машин 01-10 14:10
Глава Yangtze Memory подал в отставку — его уход связывают с «большой коррупцией» в хайтек фондах Китая 01-10 13:54
Разработчик автопилота Intel Mobileye подал заявку на размещение акций — планируется привлечь до $50 млрд 01-10 13:39
Процессорные планы AMD: скоро выйдут Ryzen 7000 c 3D-кешем, а Threadripper и APU на Zen 4 — к концу следующего года 01-10 13:18