В Интернете появился новый вирус, который блокирует Windows Компания «Доктор Веб» предупредила о появлении в Интернете нового трояна под названием Trojan.Winlock.5729. Особенность этой программы-вымогателя в том, что она полностью блокирует ОС, используя штатные средства Windows, путем изменения пароля локальных пользователей.
Новый троян Trojan.Winlock.5729 скрывается в установочном дистрибутиве популярной программы Artmoney, предназначенной для «накрутки» различных ресурсов в компьютерных играх, сообщает Служба безопасности.
Кроме реального установщика Artmoney, инсталлятор содержит три файла: измененный файл logonui.exe с именем iogonui.exe (этот файл отвечает за демонстрацию графического интерфейса при входе пользователя в Windows XP) и два архива, содержащих bat-файлы.
При загрузке зараженного инсталлятора запускается первый, password_on.bat.
Данный файл содержит набор команд, выполняющих проверку операционной системы: если на жестком диске присутствует папка c: users, что является характерным признаком операционной системы Windows Vista и Windows 7, вредные компоненты удаляются , если же такая папка отсутствует, троян считает, что он запущен в Windows XP.
В этом случае Trojan.Winlock.5729 модифицирует системный список, подменяя при загрузке Windows стандартный logonui.exe собственным файлом iogonui.exe, и меняет пароль пользователя Windows для текущего пользователя и локальных пользователей с именами «admin», «administrator», «админ», «администратор».
Если нынешний пользователь работает в ограниченном аккаунте, работа трояна прекращается. Еще один bat-файл — password_off.bat — удаляет все пароли и возвращает в системном реестре оригинальное значение UIHost.
0 комментариевВернуться к записи
Добавить комментарий
Комментарии доступны только зарегистрированым посетителям.