В інтернеті завівся новий троян, який повністю блокує ОС (фото)

Компанія "Доктор Веб" попередила про появу в інтернеті нового трояна під назвою Trojan.Winlock.5729.

Особливість цієї програми-здирника полягає в тому, що вона повністю блокує ОС, використовуючи штатні засоби Windows, шляхом зміни пароля локальних користувачів.

Новий троян Trojan.Winlock.5729 ховається в установчому дистрибутиві популярної програми Artmoney, призначеної для "накрутки" різних ресурсів в комп'ютерних іграх.

Крім реального установника Artmoney, інсталятор містить три файли: змінений файл logonui.exe з ім'ям iogonui.exe (цей файл відповідає за демонстрацію графічного інтерфейсу при вході користувача в Windows XP) і два архіви, що містять bat-файли.

При завантаженні інфікованого інсталятора запускається перший з них, password_on.bat.

Даний файл містить набір команд, що виконують перевірку операційної системи: якщо на жорсткому диску присутня папка c:users, що є характерною ознакою операційної системи Windows Vista і Windows 7, шкідливі компоненти видаляються, якщо ж така папка відсутня, троянець вважає, що він запущений в Windows XP.

В цьому випадку Trojan.Winlock.5729 модифікує системний реєстр, підміняючи при завантаженні Windows стандартний logonui.exe власним файлом iogonui.exe, і змінює пароль користувача Windows для поточного користувача і локальних користувачів з іменами "admin", "administrator", "адмін", "адміністратор".

Якщо поточний користувач працює в обмеженому обліковому записі, робота троянця припиняється.

Ще один bat-файл - password_off.bat - видаляє всі паролі і повертає в системному реєстрі оригінальне значення UIHost.