Вы здесь: Главная > КОМПЬЮТЕРНЫЕ ВИРУСЫ, НОВОСТИ IT > «Тактичный» вымогатель

«Тактичный» вымогатель

Еще одна неприятная новость от компании «Доктор Веб» связана с появлением нового вируса — вымогателя, который блокирует Windows, используя штатные средства операционной системы. Троянец просто-напросто меняет пароли локальных пользователей системы.

Вирус, получивший имя Trojan.Winlock.5729, прячется в дистрибутиве популярной программы Artmoney и содержит три файла: два самораспаковывающихся архива, содержащих bat-файлы и модифицированный файл logonui.exe с именем iogonui.exe, отвечающий за графический интерфейс при входе пользователя в операционную систему Windows XP.

ArtMoney — программа — взломщик видеоигр, позволяющая внести изменения в параметры игры, наделив героя бессмертием и увеличивая до максимума количество оружия, патронов, других игровых ресурсов.

Первый пакетный файл с именем password_on.bat запускается при загрузке инфицированного инсталлятора Artmoney и проверяет операционную систему на присутствие Windows XP. Он сканирует жесткий диск на наличие на нем папки c:\users\, что характерно  Windows Vista или Windows Seven, и если находит, то удаляются все вредоносные компоненты. При отрицательном результате, то есть если на компьютер установлена операционная система Windows XP, вирус путем модификации системного реестра подменяет стандартный файл logonui.exe на iogonui.exe. Файл iogonui.exe отличается от настоящего файла из комплекта поставки Windows XP только тем, что в нем изменена строка приветствия Windows, на требование отправить платное сообщение.

Так же троянец меняет пароль локального администратора и текущей учетной записи пользователя операционной системы. Если же учетная запись пользователя ограничена, вирус прекращает свою работу.

После выхода из системы или перезагрузки компьютера вы уже не сможете попасть обратно, так как все пароли будут изменены. Специалисты компании «Доктор Веб» советуют жертвам троянца Trojan.Winlock.5729 использовать для входа в систему пароль «Спасибо!» (без кавычек). После чего срабатывает другой пакетный файл password_off.bat, который сбрасывает все пароли и возвращает в системном реестре оригинальное значение параметру UIHost, находящемуся по адресу: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.
-----
При открытии своего бизнеса много времени занимает подготовка юридических документов и непосредственно сама государственная регистрация фирм. Компания «Ллойд`с Ассистент» сведет к минимуму затраты вашего времени и поможет Вам в этом процессе.

Популярность: 7%

Кстати,
Вам понравилось?

  • Понравилась статья - поделитесь с друзьями через кнопки социальных сетей.
  • Не хотите пропускать новые статьи - подпишитесь на рассылку.

Ваш e-mail: * Ваше имя: *

 

Оставьте комментарий