ОСТАННІ НОВИНИ

В інтернеті завівся новий троян, який повністю блокує оперативну систему

|

Компанія “Доктор Веб” попередила про появу в інтернеті нового трояна під назвою Trojan.Winlock.5729. Особливість цієї програми-здирника полягає в тому, що вона повністю блокує оперативну систему, використовуючи штатні засоби Windows, шляхом зміни пароля локальних користувачів.

Як повідомляє ТСН, новий троян Trojan.Winlock.5729 ховається в установчому дистрибутиві популярної програми Artmoney, призначеної для “накрутки” різних ресурсів в комп`ютерних іграх. Крім реального установника Artmoney, інсталятор містить три файли: змінений файл logonui.exe з ім`ям iogonui.exe (цей файл відповідає за демонстрацію графічного інтерфейсу при вході користувача в Windows XP) і два архіви, що містять bat-файли.

При завантаженні інфікованого інсталятора запускається перший з них, password_on.bat. Троян Dr.Web

Даний файл містить набір команд, що виконують перевірку операційної системи: якщо на жорсткому диску присутня папка c:users, що є характерною ознакою операційної системи Windows Vista і Windows 7, шкідливі компоненти видаляються, якщо ж така папка відсутня, троянець вважає, що він запущений в Windows XP.

В цьому випадку Trojan.Winlock.5729 модифікує системний реєстр, підміняючи при завантаженні Windows стандартний logonui.exe власним файлом iogonui.exe, і змінює пароль користувача Windows для поточного користувача і локальних користувачів з іменами “admin”, “administrator”, “адмін”, “адміністратор”. Якщо поточний користувач працює в обмеженому обліковому записі, робота троянця припиняється. Ще один bat-файл – password_off.bat – видаляє всі паролі і повертає в системному реєстрі оригінальне значення UIHost.

 

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *