Trojan.Winlock.5729: блокирование системы, путем изменения пароля пользователя
Так сложилось исторически, что зловреды-блокеры заменяют встроенную оболочку Windows (или файл userinit.exe), неким приложением, которое выдает пользователю какое-то сообщение, кто сталкивался с подобными вещами, тот помнит :). Кроме этого, напомню, программа отсекает все попытки вызвать диспетчер задач, командную строку, или тот же редактор реестра. Так вот это все в прошлом. :).
Trojan.Winlock.5729 (под этим названием он добавлен в базу вирусов компании «Доктор Веб») был обнаружен в инсталляционном пакете программы Artmoney, кто играет в игры, тот знает, что это очень полезная штука для накрутки ресурсов например. В установочный пакет Artmoney, входят 3 файла — модифицированный logonui.exe под именем iogonui.exe (файл который отвечает за показ IU при входе в Win XP), а также 2 самораспаковывающихся архива с bat-файлами.
Алгоритм работы
Загружая изменный инсталлятор, автоматически запускается password_on.bat, который систоит из набора команд, предназначенных для проверки ОС – таким образом, если на одном из физических дисков есть папка c:\users\ – это значит, что установлена ОС Win Vista / Win 7, все деструктивные пакеты самоудаляются, в противном случае, если такой папки нет, троян предполагает, он работает в Win XP. Затем, он проникает в реестр и модифицирует его, перезаписывая стандартный виндосовский logonui.exe файлом iogonui.exe, ну и конечно же меняет пароль текущей учетной записи Windows и других локальных пользователей с именами «admin», «administrator», «админ», «администратор». Примечательно, если пользователь зашел в систему с ограниченными правами, троян прекращает свои действия. Другой bat-файл – password_off.bat – сбрасывает установленные пароли и возвращает в реестр оригинальное значение uihost.
Файл iogonui.exe это самый настоящий файл logonui.exe который поставляется вместе с Win XP, только немного изменный с помощью редактора ресурсов, — стандартная строка приветствия Windows представляет собой требование отправить платную СМС-ку.
Т.е., если пользователь захочет перезагрузиться или сменить учетную запись, система заблочится и появится следующий экран:
Как уже говорилось, сигнатура вируса добавлена в базу Dr.Web, поэтому умельцы компании уже обезвредили данную опасность, если вы подцепили троянец, пароль — «Спасибо!» (без кавычек), после чего Winlock.5729 удалит все пароли для учеток. Но, на случай если пароль не сработал, можно загрузиться с любого Live CD и ручками изменить в реестре значение параметра uihost (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon) на logonui.exe.
