Компанія “Доктор Веб” попередила про появу в інтернеті нового трояна під назвою Trojan.Winlock.5729. Особливість цієї програми-здирника полягає в тому, що вона повністю блокує оперативну систему, використовуючи штатні засоби Windows, шляхом зміни пароля локальних користувачів.
Як повідомляє ТСН, новий троян Trojan.Winlock.5729 ховається в установчому дистрибутиві популярної програми Artmoney, призначеної для “накрутки” різних ресурсів в комп`ютерних іграх. Крім реального установника Artmoney, інсталятор містить три файли: змінений файл logonui.exe з ім`ям iogonui.exe (цей файл відповідає за демонстрацію графічного інтерфейсу при вході користувача в Windows XP) і два архіви, що містять bat-файли.
При завантаженні інфікованого інсталятора запускається перший з них, password_on.bat. Троян Dr.Web
Даний файл містить набір команд, що виконують перевірку операційної системи: якщо на жорсткому диску присутня папка c:users, що є характерною ознакою операційної системи Windows Vista і Windows 7, шкідливі компоненти видаляються, якщо ж така папка відсутня, троянець вважає, що він запущений в Windows XP.
В цьому випадку Trojan.Winlock.5729 модифікує системний реєстр, підміняючи при завантаженні Windows стандартний logonui.exe власним файлом iogonui.exe, і змінює пароль користувача Windows для поточного користувача і локальних користувачів з іменами “admin”, “administrator”, “адмін”, “адміністратор”. Якщо поточний користувач працює в обмеженому обліковому записі, робота троянця припиняється. Ще один bat-файл – password_off.bat – видаляє всі паролі і повертає в системному реєстрі оригінальне значення UIHost.
