]]>
]]>
  • Новости
  • Темы
    • Экономика
    • Здоровье
    • Авто
    • Наука и техника
    • Недвижимость
    • Туризм
    • Спорт
    • Кино
    • Музыка
    • Стиль
  • Спецпроекты
  • Телевидение
  • Знания
    • Энциклопедия
    • Библия
    • Коран
    • История
    • Книги
    • Наука
    • Детям
    • КМ школа
    • Школьный клуб
    • Рефераты
    • Праздники
    • Гороскопы
    • Рецепты
  • Сервисы
    • Погода
    • Курсы валют
    • ТВ-программа
    • Перевод единиц
    • Таблица Менделеева
    • Разница во времени
Ограничение по возрасту 12
KM.RU
Новости
Главная
Версия для печати
  • Новости
  • В России
  • В мире
  • Экономика
  • Наука и техника
  • Недвижимость
  • Авто
  • Туризм
  • Здоровье
  • Спорт
  • Музыка
  • Кино
  • Стиль
  • Телевидение
  • Спецпроекты
  • Книги
  • Telegram-канал

Новый троянец блокирует компьютеры пользователей

15:10 14.03.2012
Фото с сайта drweb.com
Фото с сайта drweb.com

Компания «Доктор Веб» сообщила об обнаружении нового троянца-блокировщика, добавленного в вирусные базы под именем Trojan.Winlock.5729. Особенность этой программы-вымогателя заключается в том, что она блокирует операционную систему, используя штатные средства Windows – меняет пароли локальных пользователей.

Как известно, стандартные программы-вымогатели используют для блокировки входа в операционную систему специальное приложение, заменяющее собой стандартную оболочку (shell) Windows или файл userinit.exe и демонстрирующее на экране компьютера соответствующий текст. Как правило, одновременно с этим вредоносная программа отслеживает и предотвращает запуск различных вспомогательных утилит, таких как Диспетчер задач, Командная строка, Редактор реестра и т. д, но авторы Trojan.Winlock.5729 пошли по совершенно иному и гораздо более простому, но весьма оригинальному пути.

Новый троянец скрывается в установочном дистрибутиве популярной программы Artmoney (предназначена для «накрутки» различных ресурсов в компьютерных играх). Помимо реального установщика Artmoney, инсталлятор содержит три файла: измененный файл logonui.exe с именем iogonui.exe и два самораспаковывающихся архива, содержащих bat-файлы. При загрузке инфицированного инсталлятора запускается первый из них, password_on.bat, который содержит набор команд, выполняющих проверку операционной системы: если на жестком диске присутствует папка c:\users\, что является характерным признаком операционной системы Windows Vista и Windows 7, то вредоносные компоненты удаляются, если же такая папка отсутствует, троянец считает, что он запущен в Windows XP - в этом случае Trojan.Winlock.5729 модифицирует системный реестр, подменяя при загрузке Windows стандартный logonui.exe собственным файлом iogonui.exe и меняет пароль учетной записи Windows для текущего пользователя и локальных пользователей с именами «admin», «administrator», «админ», «администратор».

Если текущий пользователь работает в ограниченной учетной записи, работа троянца прекращается. Еще один bat-файл — password_off.bat — удаляет все пароли и возвращает в системном реестре оригинальное значение UIHost.

Файл iogonui.exe представляет собой настоящий аутентичный файл logonui.exe из комплекта поставки Windows XP, в котором с помощью редактора ресурсов была изменена стандартная строка приветствия Windows на требование отправить платное СМС-сообщение.

Таким образом, выполнив выход из системы или перезагрузку, пользователь уже не сможет осуществить вход, поскольку пароли всех учетных записей были изменены.

Темы: Windows, Антивирус Dr.Web, Антивирусы и обеспечение безопасности компьютера, Компьютерная безопасность, Хакеры и проблема безопасности компьютерных сетей
Расскажите об этом:
0

Подписаться на KM.RU в Telegram

Сообщить об ошибке на km.ru_new@mail.ru

Комментарии читателей Оставить комментарий

  1. 15.03.2012, 14:36
    Гость: Русич

    Иван, согласен: "Уж сколько они усилий прикладывают, чтобы заставить всех перейти на их «улучшенные» разработки!!!".
    Вот Вынь8 будет иметь модуль, проверяющий "легитимность" разных программ и другого контента - фильмов, музыкальных записей, книг и будет их удалять даже без оповещения юзера. Во как!
    Однако на другое хочу обратить внимание - мобильная связь все больше вовлекается в преступный бизнес. Например, сеть платежных терминалов Qiwi вроде как бы не сама себе отстегивает процент за оплату мобилок, а процент, оказывается, зависит уже и от времени суток (!!) и доходит до 10%!!! Оказывается, сами терминалы... не принадлежат Qiwi, а сдаются в аренду - кому угодно! Вот этот "кому угодно" и устанавливает такие драконовские проценты.
    Кроме того, пора бы поставить под контроль четырехзначные номера, используемые для мошенничества. Например, предыдущий Winlock собрал порядка 100 млн.руб!!! А номер был зарегистрирован на некого мэна из Израиля!
    К счастью, операторы мобильной связи готовы бороться с таким вымогательством: как только на вашем ПК появилась "простыня" с вымогательством, тут же звоните своему оператору, сообщайте номер и он будет блокирован, деньги мошеннику не достанутся.

    • ответить
    • ветвь обсуждения
  2. 14.03.2012, 18:50
    Гость: Ivan

    Достаточно элементарная работа для соответствующего чиновника. Необходимо лишь захотеть что-то сделать. Т.е. получить информацию, разослать стандартные запросы, получить ответы, провести работу по задержанию аферистов. Я пытался в свое время добраться до соответствующих чиновников, но дальше отделения милиции не пробился. Оставляешь там заявление и усе, больше никто ничего делать не будет. Хотя заявление зарегистрируют и т.д. С одной стороны оно и понятно, не для того управление по борьбе с компьютерными заморочками создавалось. Это нам лапшу на уши вешали, что теперь порядок будет наведен. С другой стороны, есть большие подозрения, что здесь не обходится без соответствующей заинтересованности со стороны «компетентных» органов, а также разработчиков программ по борьбе с вирусами и троянами. Даже больше того, в данном случае вообще разработчиками Windows попахивает. Уж сколько они усилий прикладывают, чтобы заставить всех перейти на их «улучшенные» разработки.

    • ответить
    • ветвь обсуждения
]]>
]]>
Выбор читателей
Набиуллина: у нас впереди очень неспокойные времена
Самолет МС-21 за два года подорожал на 65%
Сергей Черняховский: «За что мы не любим Америку – понятно и очевидно. Интереснее то, за что ее можно любить»
Мединский объяснил смысл новой обложки учебника истории для 11-х классов
]]>
Агрегатор 24СМИ
]]>
234
Избранное
Стоит ли обратить внимание на китайское кино, или Что вы знаете о нём
Сергей Черняховский. Правила как абсолют некодифицированного права
Вызывающе сексуальная Анфиса Чехова
По миру покатилась волна государственных дефолтов
Чистка брусчатки: лучшие методы
Новогодняя Рок-елка, 28 декабря, Live Café (Орск)
«Надо помнить главный принцип, который касается всех перемирий, - перемирие всегда в интересах отступающего»
«ЙОРШ», 15 апреля, «Урбан»
Виктор Алкснис: «Россия для Абхазии нужна сегодня исключительно в качестве дойной коровы для выкачивания денег»
Две недели до новой войны? Си Цзиньпин провел в Китае «сталинскую» чистку
Кинопремьера «Сергий против нечисти. Яга»: не бойся, я с тобой
официальный сайт © ООО «КМ онлайн», 1999-2025 О проекте ·Все проекты ·Выходные данные ·Контакты ·Реклама
]]>
]]>
Сетевое издание KM.RU. Свидетельство о регистрации Эл № ФС 77 – 41842.
Мнения авторов опубликованных материалов могут не совпадать с позицией редакции.

Мультипортал KM.RU: актуальные новости, авторские материалы, блоги и комментарии, фото- и видеорепортажи, почта, энциклопедии, погода, доллар, евро, рефераты, телепрограмма, развлечения.

Карта сайта


Подписывайтесь на наш Telegram-канал и будьте в курсе последних событий.


Организации, запрещенные на территории Российской Федерации
Telegram Logo

Используя наш cайт, Вы даете согласие на обработку файлов cookie. Если Вы не хотите, чтобы Ваши данные обрабатывались, необходимо установить специальные настройки в браузере или покинуть сайт.