Новый винлок блокирует систему, меняя пароль пользователя

KaAd · 13.03.2012, 13:39

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — сообщает о появлении
нового троянца-блокировщика, добавленного в вирусные базы под именем Trojan.Winlock.5729. Особенность этой
программы-вымогателя заключается в том, что она блокирует операционную систему, используя штатные средства
Windows, путем изменения пароля локальных пользователей.

Традиционно программы-вымогатели используют для блокировки входа в операционную систему специальное
приложение, заменяющее собой стандартную оболочку (shell) Windows или файл userinit.exe и демонстрирующее на
экране компьютера соответствующий текст. Одновременно вредоносная программа обычно отслеживает и
предотвращает запуск различных вспомогательных утилит, таких как Диспетчер задач, Командная строка,
Редактор реестра и т. д. Совершенно по иному, гораздо более простому, но весьма оригинальному пути пошли
авторы Trojan.Winlock.5729.

Троянец скрывается в установочном дистрибутиве популярной программы Artmoney, предназначенной для
«накрутки» различных ресурсов в компьютерных играх. Помимо реального установщика Artmoney, инсталлятор
содержит три файла: измененный файл logonui.exe с именем iogonui.exe (этот файл отвечает за демонстрацию
графического интерфейса при входе пользователя в Windows XP) и два самораспаковывающихся архива,
содержащих bat-файлы. При загрузке инфицированного инсталлятора запускается первый из них, password_on.bat.
Данный файл содержит набор команд, выполняющих проверку операционной системы: если на жестком диске
присутствует папка c:\users\, что является характерным признаком операционной системы Windows Vista и Windows 7,
вредоносные компоненты удаляются, если же такая папка отсутствует, троянец считает, что он запущен в
Windows XP. В этом случае Trojan.Winlock.5729 модифицирует системный реестр, подменяя при загрузке Windows
стандартный logonui.exe собственным файлом iogonui.exe, и меняет пароль учетной записи Windows для текущего
пользователя и локальных пользователей с именами «admin», «administrator», «админ», «администратор». Если
текущий пользователь работает в ограниченной учетной записи, работа троянца прекращается. Еще один
bat-файл — password_off.bat — удаляет все пароли и возвращает в системном реестре оригинальное значение UIHost.

Файл iogonui.exe представляет собой настоящий аутентичный файл logonui.exe из комплекта поставки Windows XP, в
котором с помощью редактора ресурсов была изменена стандартная строка приветствия Windows на требование
отправить платное СМС-сообщение.

Таким образом, выполнив выход из системы или перезагрузку, пользователь уже не сможет осуществить вход,
поскольку пароли всех учетных записей пользователей были изменены.

Сигнатура данной угрозы добавлена в вирусные базы Dr.Web. Если вы стали жертвой этого троянца, для входа
в систему используйте пароль «Спасибо!» (без кавычек), после чего Trojan.Winlock.5729 автоматически сбросит
пароли учетных записей. Если этого не произошло, можно вручную изменить значение параметра UIHost в ветви
реестра HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon на logonui.exe.

источник

Deamon222 · 13.03.2012, 16:24

поэтому нужно использовать W7

Tom Ahawk · 13.03.2012, 16:55

Цитата:

Сообщение от Deamon222

поэтому нужно использовать W7

Можно просто создать папку

Цитата:

Сообщение от KaAd

c:\users\

и спокойно работать в ХР.

Linus · 13.03.2012, 20:28

ммм новый вирус? хотя чего его боятца? не ходите на неизвестные сайты и не скайчвайте какието неизвестные файлы. и даже антивирус Вам будет не нужен будет

Андрей13 · 13.03.2012, 22:25

Цитата:

Сообщение от KaAd

используйте пароль «Спасибо!»

разработчики с юмором)))

miraclePC · 14.03.2012, 12:55

Ну и вывод - НЕ ЧИТЕРИТЬ!

vladrti · 14.03.2012, 17:22

я делаю так и не один банер не пройдет даже самый новенький смотреть

Myxa86 · 14.03.2012, 20:52

конвеер налажн, сейччас как понисутся модификации... теперь хоть в скачивании порно не будут обвинять?!

Myxa86 · 14.03.2012, 20:54

Цитата:

Сообщение от COK

ГГ , уже мало кто использует Артмани , большинство используют Cheat engine. )

ох уже эти любители "взлома игр", нужно играть честно

Escabaro · 14.03.2012, 23:13

У меня старенький артмани,давно с плейграунда качал,а что,работает,мне другого и не надо)

A-Lexx · 15.03.2012, 00:41

Цитата:

Сообщение от Deamon222

поэтому нужно использовать W7

А то для "Семерки" не сделают. Еще как сделают, если уже не сделали, эти сволочи не дремлют

P.S. Читерство - зло

Ip_MEN · 15.03.2012, 00:54

А Ердом сбросить пароль получиться?

KRАB · 15.03.2012, 22:38

Цитата:

Сообщение от KaAd

«Спасибо!»

странно, что не "Спасибо, КЭП!"

---------- Добавлено в 20:38 ---------- Предыдущее сообщение было написано в 20:37 ----------

P.S. - Offtop:Escabaro,

Цитата:

Сообщение от Escabaro

GTX560

Цитата:

Сообщение от Escabaro

Pentium D

ГДЕ ЛОГИКА? O_O... этот проц даже 460 не раскроет полностью...

skart45 · 18.03.2012, 10:09

LogonUI.exe через Resourse Hacker открыт? А кто классическую оболочку использует, у него такое тоже может вылезти(вместо рисунка Windows XP)?

---------- Добавлено в 13:09 ---------- Предыдущее сообщение было написано в 13:08 ----------

Цитата:

Сообщение от KRАB

этот проц даже 460 не раскроет полностью...

Проверю.

Hotab · 18.03.2012, 11:56

Цитата:

Если
текущий пользователь работает в ограниченной учетной записи, работа троянца прекращается.

Работайте с правами юзера..и будет вам счастье...

13.03.2012, 13:39	#1 (ссылка)
KaAd Эксперт Регистрация: 28.09.2010 Сообщений: 18,283 Записей в блоге: 6 Репутация: 1712	Новый винлок блокирует систему, меняя пароль пользователя Компания «Доктор Веб» — российский разработчик средств информационной безопасности — сообщает о появлении нового троянца-блокировщика, добавленного в вирусные базы под именем Trojan.Winlock.5729. Особенность этой программы-вымогателя заключается в том, что она блокирует операционную систему, используя штатные средства Windows, путем изменения пароля локальных пользователей. Традиционно программы-вымогатели используют для блокировки входа в операционную систему специальное приложение, заменяющее собой стандартную оболочку (shell) Windows или файл userinit.exe и демонстрирующее на экране компьютера соответствующий текст. Одновременно вредоносная программа обычно отслеживает и предотвращает запуск различных вспомогательных утилит, таких как Диспетчер задач, Командная строка, Редактор реестра и т. д. Совершенно по иному, гораздо более простому, но весьма оригинальному пути пошли авторы Trojan.Winlock.5729. Троянец скрывается в установочном дистрибутиве популярной программы Artmoney, предназначенной для «накрутки» различных ресурсов в компьютерных играх. Помимо реального установщика Artmoney, инсталлятор содержит три файла: измененный файл logonui.exe с именем iogonui.exe (этот файл отвечает за демонстрацию графического интерфейса при входе пользователя в Windows XP) и два самораспаковывающихся архива, содержащих bat-файлы. При загрузке инфицированного инсталлятора запускается первый из них, password_on.bat. Данный файл содержит набор команд, выполняющих проверку операционной системы: если на жестком диске присутствует папка c:\users\, что является характерным признаком операционной системы Windows Vista и Windows 7, вредоносные компоненты удаляются, если же такая папка отсутствует, троянец считает, что он запущен в Windows XP. В этом случае Trojan.Winlock.5729 модифицирует системный реестр, подменяя при загрузке Windows стандартный logonui.exe собственным файлом iogonui.exe, и меняет пароль учетной записи Windows для текущего пользователя и локальных пользователей с именами «admin», «administrator», «админ», «администратор». Если текущий пользователь работает в ограниченной учетной записи, работа троянца прекращается. Еще один bat-файл — password_off.bat — удаляет все пароли и возвращает в системном реестре оригинальное значение UIHost. Файл iogonui.exe представляет собой настоящий аутентичный файл logonui.exe из комплекта поставки Windows XP, в котором с помощью редактора ресурсов была изменена стандартная строка приветствия Windows на требование отправить платное СМС-сообщение. Таким образом, выполнив выход из системы или перезагрузку, пользователь уже не сможет осуществить вход, поскольку пароли всех учетных записей пользователей были изменены. Сигнатура данной угрозы добавлена в вирусные базы Dr.Web. Если вы стали жертвой этого троянца, для входа в систему используйте пароль «Спасибо!» (без кавычек), после чего Trojan.Winlock.5729 автоматически сбросит пароли учетных записей. Если этого не произошло, можно вручную изменить значение параметра UIHost в ветви реестра HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon на logonui.exe. источник Последний раз редактировалось KaAd; 13.03.2012 в 13:45.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Вирус блокирует пользователя	Ика	Безопасность	39	30.12.2011 10:18
Браузеры не запоминают Имя пользователя и пароль.	Pavlucha	Программы	9	18.06.2011 08:06
Забыл пароль пользователя	Zayac	Windows Vista	6	12.03.2011 20:40
Пароль на учетной записи пользователя	Leeloo	Windows XP	0	29.08.2010 19:08
ребята,как узнать пароль пользователя?	vagif.ka1995	Windows XP	6	18.10.2009 23:33

13.03.2012, 16:24	#2 (ссылка)
Deamon222 Новичок Регистрация: 08.02.2012 Сообщений: 12 Репутация: 0	поэтому нужно использовать W7

13.03.2012, 20:28	#4 (ссылка)
Linus Подозрительная личность Регистрация: 29.10.2011 Сообщений: 287 Репутация: -2	ммм новый вирус? хотя чего его боятца? не ходите на неизвестные сайты и не скайчвайте какието неизвестные файлы. и даже антивирус Вам будет не нужен будет

14.03.2012, 12:55	#6 (ссылка)
miraclePC Стажёр Регистрация: 16.04.2011 Сообщений: 1,586 Записей в блоге: 3 Репутация: 56	Ну и вывод - НЕ ЧИТЕРИТЬ!

14.03.2012, 17:22	#7 (ссылка)
vladrti Новичок Регистрация: 29.06.2010 Сообщений: 7 Репутация: 0	я делаю так и не один банер не пройдет даже самый новенький смотреть

14.03.2012, 20:52	#8 (ссылка)
Myxa86 Новичок Регистрация: 11.03.2012 Сообщений: 3 Репутация: 0	конвеер налажн, сейччас как понисутся модификации... теперь хоть в скачивании порно не будут обвинять?!

14.03.2012, 23:13	#10 (ссылка)
Escabaro Новичок Регистрация: 22.04.2011 Сообщений: 836 Репутация: 23	У меня старенький артмани,давно с плейграунда качал,а что,работает,мне другого и не надо)

15.03.2012, 00:54	#12 (ссылка)
Ip_MEN Новичок Регистрация: 08.10.2011 Сообщений: 579 Репутация: 43	А Ердом сбросить пароль получиться?

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads