]]>
]]>
  • Новости
  • Темы
    • Экономика
    • Здоровье
    • Авто
    • Наука и техника
    • Недвижимость
    • Туризм
    • Спорт
    • Кино
    • Музыка
    • Стиль
  • Спецпроекты
  • Телевидение
  • Знания
    • Энциклопедия
    • Библия
    • Коран
    • История
    • Книги
    • Наука
    • Детям
    • КМ школа
    • Школьный клуб
    • Рефераты
    • Праздники
    • Гороскопы
    • Рецепты
  • Сервисы
    • Погода
    • Курсы валют
    • ТВ-программа
    • Перевод единиц
    • Таблица Менделеева
    • Разница во времени
Ограничение по возрасту 12
KM.RU
Новости
Главная
Версия для печати
  • Новости
  • В России
  • В мире
  • Экономика
  • Наука и техника
  • Недвижимость
  • Авто
  • Туризм
  • Здоровье
  • Спорт
  • Музыка
  • Кино
  • Стиль
  • Телевидение
  • Спецпроекты
  • Книги
  • Telegram-канал

Новый троянец блокирует компьютеры пользователей

15:10 14.03.2012
Фото с сайта drweb.com
Фото с сайта drweb.com

Компания «Доктор Веб» сообщила об обнаружении нового троянца-блокировщика, добавленного в вирусные базы под именем Trojan.Winlock.5729. Особенность этой программы-вымогателя заключается в том, что она блокирует операционную систему, используя штатные средства Windows – меняет пароли локальных пользователей.

Как известно, стандартные программы-вымогатели используют для блокировки входа в операционную систему специальное приложение, заменяющее собой стандартную оболочку (shell) Windows или файл userinit.exe и демонстрирующее на экране компьютера соответствующий текст. Как правило, одновременно с этим вредоносная программа отслеживает и предотвращает запуск различных вспомогательных утилит, таких как Диспетчер задач, Командная строка, Редактор реестра и т. д, но авторы Trojan.Winlock.5729 пошли по совершенно иному и гораздо более простому, но весьма оригинальному пути.

Новый троянец скрывается в установочном дистрибутиве популярной программы Artmoney (предназначена для «накрутки» различных ресурсов в компьютерных играх). Помимо реального установщика Artmoney, инсталлятор содержит три файла: измененный файл logonui.exe с именем iogonui.exe и два самораспаковывающихся архива, содержащих bat-файлы. При загрузке инфицированного инсталлятора запускается первый из них, password_on.bat, который содержит набор команд, выполняющих проверку операционной системы: если на жестком диске присутствует папка c:\users\, что является характерным признаком операционной системы Windows Vista и Windows 7, то вредоносные компоненты удаляются, если же такая папка отсутствует, троянец считает, что он запущен в Windows XP - в этом случае Trojan.Winlock.5729 модифицирует системный реестр, подменяя при загрузке Windows стандартный logonui.exe собственным файлом iogonui.exe и меняет пароль учетной записи Windows для текущего пользователя и локальных пользователей с именами «admin», «administrator», «админ», «администратор».

Если текущий пользователь работает в ограниченной учетной записи, работа троянца прекращается. Еще один bat-файл — password_off.bat — удаляет все пароли и возвращает в системном реестре оригинальное значение UIHost.

Файл iogonui.exe представляет собой настоящий аутентичный файл logonui.exe из комплекта поставки Windows XP, в котором с помощью редактора ресурсов была изменена стандартная строка приветствия Windows на требование отправить платное СМС-сообщение.

Таким образом, выполнив выход из системы или перезагрузку, пользователь уже не сможет осуществить вход, поскольку пароли всех учетных записей были изменены.

Темы: Windows, Антивирус Dr.Web, Антивирусы и обеспечение безопасности компьютера, Компьютерная безопасность, Хакеры и проблема безопасности компьютерных сетей
Расскажите об этом:
0

Подписаться на KM.RU в Telegram

Сообщить об ошибке на km.ru_new@mail.ru

Комментарии читателей Оставить комментарий

  1. 15.03.2012, 14:36
    Гость: Русич

    Иван, согласен: "Уж сколько они усилий прикладывают, чтобы заставить всех перейти на их «улучшенные» разработки!!!".
    Вот Вынь8 будет иметь модуль, проверяющий "легитимность" разных программ и другого контента - фильмов, музыкальных записей, книг и будет их удалять даже без оповещения юзера. Во как!
    Однако на другое хочу обратить внимание - мобильная связь все больше вовлекается в преступный бизнес. Например, сеть платежных терминалов Qiwi вроде как бы не сама себе отстегивает процент за оплату мобилок, а процент, оказывается, зависит уже и от времени суток (!!) и доходит до 10%!!! Оказывается, сами терминалы... не принадлежат Qiwi, а сдаются в аренду - кому угодно! Вот этот "кому угодно" и устанавливает такие драконовские проценты.
    Кроме того, пора бы поставить под контроль четырехзначные номера, используемые для мошенничества. Например, предыдущий Winlock собрал порядка 100 млн.руб!!! А номер был зарегистрирован на некого мэна из Израиля!
    К счастью, операторы мобильной связи готовы бороться с таким вымогательством: как только на вашем ПК появилась "простыня" с вымогательством, тут же звоните своему оператору, сообщайте номер и он будет блокирован, деньги мошеннику не достанутся.

    • ответить
    • ветвь обсуждения
  2. 14.03.2012, 18:50
    Гость: Ivan

    Достаточно элементарная работа для соответствующего чиновника. Необходимо лишь захотеть что-то сделать. Т.е. получить информацию, разослать стандартные запросы, получить ответы, провести работу по задержанию аферистов. Я пытался в свое время добраться до соответствующих чиновников, но дальше отделения милиции не пробился. Оставляешь там заявление и усе, больше никто ничего делать не будет. Хотя заявление зарегистрируют и т.д. С одной стороны оно и понятно, не для того управление по борьбе с компьютерными заморочками создавалось. Это нам лапшу на уши вешали, что теперь порядок будет наведен. С другой стороны, есть большие подозрения, что здесь не обходится без соответствующей заинтересованности со стороны «компетентных» органов, а также разработчиков программ по борьбе с вирусами и троянами. Даже больше того, в данном случае вообще разработчиками Windows попахивает. Уж сколько они усилий прикладывают, чтобы заставить всех перейти на их «улучшенные» разработки.

    • ответить
    • ветвь обсуждения
]]>
]]>
Выбор читателей
© KM.RU
«Может, и по башке кому-то прилетит»: Резкий рост квартплат в июле вновь поставил вопрос — откуда такие цифры взялись?
Состояние богатейших россиян за полгода выросло на 24,5 млрд долларов
В Азербайджане задержали граждан России по подозрению в транзите наркотиков
Самолет МС-21 за два года подорожал на 65%
]]>
Агрегатор 24СМИ
]]>
234
Избранное
БеZ Б «Почему я не женат?» (интернет-сингл)
«Почему в период общенационального кризиса Елбасы не обратился к народу Казахстана?»
Январята-февралята: особенности зимней беременности
тоскарабочегокласса «День во сне» (интернет-сингл)
В Зеленограде разработали лекарство от рака легких, не разрушающее здоровые клетки
«Калинов мост» подвел москвичей к катарсису на презентации «Дастояра»
«30 лет без СССР - крепкий и ещё не старый пятнадцатикомнатный дом, где царили мир и согласие, был подожжен с разных концов самими же жильцами»
Созвездие N «Вечная машина танцпола» (интернет-сингл)
РУБИ КОНцы «Бэдтрип» (интернет-сингл)
«Новые дикари. Ещё недавно, почти вчера, умение писать было базой всякого образования»
«Трагедия Севастополя показала необходимость создания системы местной ПВО»
официальный сайт © ООО «КМ онлайн», 1999-2025 О проекте ·Все проекты ·Выходные данные ·Контакты ·Реклама
]]>
]]>
Сетевое издание KM.RU. Свидетельство о регистрации Эл № ФС 77 – 41842.
Мнения авторов опубликованных материалов могут не совпадать с позицией редакции.

Мультипортал KM.RU: актуальные новости, авторские материалы, блоги и комментарии, фото- и видеорепортажи, почта, энциклопедии, погода, доллар, евро, рефераты, телепрограмма, развлечения.

Карта сайта


Подписывайтесь на наш Telegram-канал и будьте в курсе последних событий.


Организации, запрещенные на территории Российской Федерации
Telegram Logo

Используя наш cайт, Вы даете согласие на обработку файлов cookie. Если Вы не хотите, чтобы Ваши данные обрабатывались, необходимо установить специальные настройки в браузере или покинуть сайт.