Новый троянец блокирует компьютеры пользователей

15:10 14.03.2012

Компания «Доктор Веб» сообщила об обнаружении нового троянца-блокировщика, добавленного в вирусные базы под именем Trojan.Winlock.5729. Особенность этой программы-вымогателя заключается в том, что она блокирует операционную систему, используя штатные средства Windows – меняет пароли локальных пользователей.

Как известно, стандартные программы-вымогатели используют для блокировки входа в операционную систему специальное приложение, заменяющее собой стандартную оболочку (shell) Windows или файл userinit.exe и демонстрирующее на экране компьютера соответствующий текст. Как правило, одновременно с этим вредоносная программа отслеживает и предотвращает запуск различных вспомогательных утилит, таких как Диспетчер задач, Командная строка, Редактор реестра и т. д, но авторы Trojan.Winlock.5729 пошли по совершенно иному и гораздо более простому, но весьма оригинальному пути.

Новый троянец скрывается в установочном дистрибутиве популярной программы Artmoney (предназначена для «накрутки» различных ресурсов в компьютерных играх). Помимо реального установщика Artmoney, инсталлятор содержит три файла: измененный файл logonui.exe с именем iogonui.exe и два самораспаковывающихся архива, содержащих bat-файлы. При загрузке инфицированного инсталлятора запускается первый из них, password_on.bat, который содержит набор команд, выполняющих проверку операционной системы: если на жестком диске присутствует папка c:\users\, что является характерным признаком операционной системы Windows Vista и Windows 7, то вредоносные компоненты удаляются, если же такая папка отсутствует, троянец считает, что он запущен в Windows XP - в этом случае Trojan.Winlock.5729 модифицирует системный реестр, подменяя при загрузке Windows стандартный logonui.exe собственным файлом iogonui.exe и меняет пароль учетной записи Windows для текущего пользователя и локальных пользователей с именами «admin», «administrator», «админ», «администратор».

Если текущий пользователь работает в ограниченной учетной записи, работа троянца прекращается. Еще один bat-файл — password_off.bat — удаляет все пароли и возвращает в системном реестре оригинальное значение UIHost.

Файл iogonui.exe представляет собой настоящий аутентичный файл logonui.exe из комплекта поставки Windows XP, в котором с помощью редактора ресурсов была изменена стандартная строка приветствия Windows на требование отправить платное СМС-сообщение.

Таким образом, выполнив выход из системы или перезагрузку, пользователь уже не сможет осуществить вход, поскольку пароли всех учетных записей были изменены.

Комментарии читателей Оставить комментарий

15.03.2012, 14:36

Гость: Русич

Иван, согласен: "Уж сколько они усилий прикладывают, чтобы заставить всех перейти на их «улучшенные» разработки!!!".
Вот Вынь8 будет иметь модуль, проверяющий "легитимность" разных программ и другого контента - фильмов, музыкальных записей, книг и будет их удалять даже без оповещения юзера. Во как!
Однако на другое хочу обратить внимание - мобильная связь все больше вовлекается в преступный бизнес. Например, сеть платежных терминалов Qiwi вроде как бы не сама себе отстегивает процент за оплату мобилок, а процент, оказывается, зависит уже и от времени суток (!!) и доходит до 10%!!! Оказывается, сами терминалы... не принадлежат Qiwi, а сдаются в аренду - кому угодно! Вот этот "кому угодно" и устанавливает такие драконовские проценты.
Кроме того, пора бы поставить под контроль четырехзначные номера, используемые для мошенничества. Например, предыдущий Winlock собрал порядка 100 млн.руб!!! А номер был зарегистрирован на некого мэна из Израиля!
К счастью, операторы мобильной связи готовы бороться с таким вымогательством: как только на вашем ПК появилась "простыня" с вымогательством, тут же звоните своему оператору, сообщайте номер и он будет блокирован, деньги мошеннику не достанутся.

14.03.2012, 18:50

Гость: Ivan

Достаточно элементарная работа для соответствующего чиновника. Необходимо лишь захотеть что-то сделать. Т.е. получить информацию, разослать стандартные запросы, получить ответы, провести работу по задержанию аферистов. Я пытался в свое время добраться до соответствующих чиновников, но дальше отделения милиции не пробился. Оставляешь там заявление и усе, больше никто ничего делать не будет. Хотя заявление зарегистрируют и т.д. С одной стороны оно и понятно, не для того управление по борьбе с компьютерными заморочками создавалось. Это нам лапшу на уши вешали, что теперь порядок будет наведен. С другой стороны, есть большие подозрения, что здесь не обходится без соответствующей заинтересованности со стороны «компетентных» органов, а также разработчиков программ по борьбе с вирусами и троянами. Даже больше того, в данном случае вообще разработчиками Windows попахивает. Уж сколько они усилий прикладывают, чтобы заставить всех перейти на их «улучшенные» разработки.

15.03.2012, 14:36

Гость: Русич

Иван, согласен: "Уж сколько они усилий прикладывают, чтобы заставить всех перейти на их «улучшенные» разработки!!!".
Вот Вынь8 будет иметь модуль, проверяющий "легитимность" разных программ и другого контента - фильмов, музыкальных записей, книг и будет их удалять даже без оповещения юзера. Во как!
Однако на другое хочу обратить внимание - мобильная связь все больше вовлекается в преступный бизнес. Например, сеть платежных терминалов Qiwi вроде как бы не сама себе отстегивает процент за оплату мобилок, а процент, оказывается, зависит уже и от времени суток (!!) и доходит до 10%!!! Оказывается, сами терминалы... не принадлежат Qiwi, а сдаются в аренду - кому угодно! Вот этот "кому угодно" и устанавливает такие драконовские проценты.
Кроме того, пора бы поставить под контроль четырехзначные номера, используемые для мошенничества. Например, предыдущий Winlock собрал порядка 100 млн.руб!!! А номер был зарегистрирован на некого мэна из Израиля!
К счастью, операторы мобильной связи готовы бороться с таким вымогательством: как только на вашем ПК появилась "простыня" с вымогательством, тут же звоните своему оператору, сообщайте номер и он будет блокирован, деньги мошеннику не достанутся.
- ответить
- ветвь обсуждения
14.03.2012, 18:50

Гость: Ivan

Достаточно элементарная работа для соответствующего чиновника. Необходимо лишь захотеть что-то сделать. Т.е. получить информацию, разослать стандартные запросы, получить ответы, провести работу по задержанию аферистов. Я пытался в свое время добраться до соответствующих чиновников, но дальше отделения милиции не пробился. Оставляешь там заявление и усе, больше никто ничего делать не будет. Хотя заявление зарегистрируют и т.д. С одной стороны оно и понятно, не для того управление по борьбе с компьютерными заморочками создавалось. Это нам лапшу на уши вешали, что теперь порядок будет наведен. С другой стороны, есть большие подозрения, что здесь не обходится без соответствующей заинтересованности со стороны «компетентных» органов, а также разработчиков программ по борьбе с вирусами и троянами. Даже больше того, в данном случае вообще разработчиками Windows попахивает. Уж сколько они усилий прикладывают, чтобы заставить всех перейти на их «улучшенные» разработки.
- ответить
- ветвь обсуждения