И опять на горизонте вирусная опасность – разработчик «Доктор Веб» сообщил, что недавно в интернете появился новый троян, блокирующий компьютер — Trojan.Winlock.5729.
Главная подлость этого трояна в том, что для своих функций он использует средства самой операционной системы Windows, блокирую ее и изменяя пароли локальных пользователей ОС.
Обычно эти программы-вымогатели применяли специальное приложение, которое как бы подменяло собой оболочку Виндовс, а иногда – файл userinit.exe. Таким образом, пока пользователь видит вроде бы традиционное приветствие ОС, одновременно с этим вирус уже вовсю действует в компьютере, отключая пользователю возможность контролировать работу компьютера. Однако в данном случае, создатели Trojan.Winlock.5729 придумали более изящный, и в то же время более простой путь.
Этот троян скрывается в приложении Artmoney – в ее установочном дистрибутиве. Геймерам знакомо это название – программа предназначена для легкой и быстрой прокачки в играх. Однако попытка установить Artmoney может закончиться плачевно. Кроме, собственно, инсталлятора, скачиваемый дистрибутив содержит еще три файла. Это такие файлы, как измененный logonui.exe (отныне его имя iogonui.exe) и еще два архива – самораспаковщика, в которых лежати bat-файлы.
Когда вы загружаете инфицированный инсталлятор, запускается один из них – а именно, password_on.bat. В нем содержатся команды, которые сканируют вашу систему. И если этот файл не находит папку c:\users\ — а это характерный признак запуска в операционной системе Windows XP – то он начинает действовать. А именно — Trojan.Winlock.5729 таким образом модифицирует реестр, что при загрузке Windows стандартный logonui.exe заменяется его «первертным» iogonui.exe. Таким образом, изменяется пароль учетной записи для входа в Windows – для всех локальных пользователей, в том числе и с правами администратора. Если же текущий локальный пользователь использует права ограниченной учетной записи, то при этом работа трояна прерывается.
Следующий bat-файл (как мы говорили, их несколько) — password_off.bat действует так: он стирает все пароли и откатывает реестр до оригинального значения UIHost.
И все было бы просто, если бы сам файл iogonui.exe не представлял собой самый настоящий файл logonui.exe из оригинальной Windows XP, но с внесенным небольшим изменением: в нем с помощью редактора подверглась изменению строка приветствия ОС Windows. Теперь это текст, призывающий отправить СМС-сообщение для разблокировки компьютера. Надо ли говорить, что стоить оно будет весьма дорого. Так что отныне пользователь, выйдя из системы или перезагрузившись, не сможет войти – пароли-то были изменены.
Вирусные базы Dr.Web были оперативно обновлены. Но если вам повезло стать жертвой этого трояна – попробуйте следующее: при запросе пароля введите «Спасибо!» (кавычки не ставьте), после чего Trojan.Winlock.5729 должен автоматически обнулить все пароли учетных записей. В случае, если этого не случилось, вы можете изменить параметр UIHost в ветви реестра вручную: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon на logonui.exe.
Если вы все-таки не смогли справиться с трояном – не идите на поводу у мошенников и не отправляйте никаких смс. А просто позвоните нам, в сервисный центр Computer-Service. Наши специалисты давно имеют дело с самыми разными вирусами и троянами, так что мы поможем вам в самые сжатые сроки, с гарантией и за умеренную плату.
Также, если вам нужна установка антивируса в Киеве, смело звоните по телефону — (097) 415-67-50.
