Trojan.Winlock.5729 (sub acest nume, a adăugat el la virusul de „Doctor Web“ de bază) a fost găsit în pachetul de programe de instalare ArtMoney care joacă jocuri, știe că acest lucru este un lucru foarte util pentru ambalarea resurselor, de exemplu. În pachetul de instalare Artmoney. include 3 fișiere - logonui.exe pe nume iogonui.exe modificat (fișier care este responsabil pentru afișare UI la intrarea în Win XP), precum și două arhiva cu auto-extragere cu BAT-fișiere.
Algoritmul muncii
Descărcarea Schimbarea de instalare pornește automat password_on.bat, care sistoit unui set de comenzi, concepute pentru a testa sistemul de operare - în acest fel, în cazul în care unul dintre discurile fizice au un dosar c: \ Users \ - acest lucru înseamnă că sistemul de operare este Win Vista / Win 7. toate pachetele distructive se șterge, în caz contrar, în cazul în care acest dosar nu există, troianul sugerează că funcționează în Win XP. Apoi, acesta pătrunde în registru și modifica, suprascrierea standard vindosovsky logonui.exe fișier iogonui.exe, și, desigur, schimbă parola contului de utilizator Windows curent și alți utilizatori locali cu „admin“ nume „administrator“, „admin“, " administrator. " Merită menționat că dacă un utilizator se conectează cu drepturi limitate, troianul își oprește activitățile. Un alt fișier bat - parola_off.bat - resetează parolele instalate și returnează valoarea registrului uihost original.
Ie dacă utilizatorul dorește să repornească sau să modifice contul, sistemul se va închide și va apărea următorul ecran:
După cum sa menționat deja, semnătura virusului este adăugată la baza de date Dr.Web. astfel incat companiile artizani au reușit deja pe acest pericol, dacă ați luat o parolă troian - „Vă mulțumesc“ (fără ghilimele), iar apoi Winlock.5729 șterge toate parolele pentru uchetok. Dar, în cazul în care, dacă parola nu funcționează, puteți porni de pe orice CD Live și se ocupă de schimbare a valorii de registry uihost setarea (HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon) pe logonui.exe.
Pe materiale: expo-itsecurity.ru
Trimiteți-le prietenilor: