Перейти к содержанию

Новый Trojan.Winlock блокирует систему, меняя пароль пользователя


ЗЛОЙДЕД

Рекомендуемые сообщения

Компания "Доктор Веб" сообщила о появлении нового троянца-блокировщика, добавленного в вирусные базы под именем Trojan.Winlock.5729. Особенность этой программы-вымогателя заключается в том, что она блокирует операционную систему, используя штатные средства Windows, путем изменения пароля локальных пользователей.

 

winlock.5729.1.png

 

Троянец скрывается в установочном дистрибутиве популярной программы Artmoney, предназначенной для «накрутки» различных ресурсов в компьютерных играх. Помимо реального установщика Artmoney, инсталлятор содержит три файла: измененный файл logonui.exe с именем iogonui.exe (этот файл отвечает за демонстрацию графического интерфейса при входе пользователя в Windows XP) и два самораспаковывающихся архива, содержащих bat-файлы. При загрузке инфицированного инсталлятора запускается первый из них, password_on.bat. Данный файл содержит набор команд, выполняющих проверку операционной системы: если на жестком диске присутствует папка c:\users\, что является характерным признаком операционной системы Windows Vista и Windows 7, вредоносные компоненты удаляются, если же такая папка отсутствует, троянец считает, что он запущен в Windows XP. В этом случае Trojan.Winlock.5729 модифицирует системный реестр, подменяя при загрузке Windows стандартный logonui.exe собственным файлом iogonui.exe, и меняет пароль учетной записи Windows для текущего пользователя и локальных пользователей с именами «admin», «administrator», «админ», «администратор». Если текущий пользователь работает в ограниченной учетной записи, работа троянца прекращается. Еще один bat-файл — password_off.bat — удаляет все пароли и возвращает в системном реестре оригинальное значение UIHost.

 

Файл iogonui.exe представляет собой настоящий аутентичный файл logonui.exe из комплекта поставки Windows XP, в котором с помощью редактора ресурсов была изменена стандартная строка приветствия Windows на требование отправить платное СМС-сообщение.

 

Таким образом, выполнив выход из системы или перезагрузку, пользователь уже не сможет осуществить вход, поскольку пароли всех учетных записей пользователей были изменены.

 

Если вы стали жертвой этого троянца, для входа в систему используйте пароль «Спасибо!» (без кавычек), после чего Trojan.Winlock.5729 автоматически сбросит пароли учетных записей. Если этого не произошло, можно вручную изменить значение параметра UIHost в ветви реестра HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon на logonui.exe.

 

www.3dnews.ru/software-news/625974/

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      От KL FC Bot
      Требования, которые онлайн-сервисы предъявляют при проверке своих пользователей, — будь то длина пароля, обязательное указание номера телефона или необходимость биометрической проверки с подмигиванием, зачастую регулируются индустриальными стандартами. Одним из важнейших документов в этой сфере является NIST SP 800-63, Digital Identity Guidelines, разработанный Национальным институтом стандартов и технологий США. Требования этого стандарта обязательны для выполнения всеми государственными органами страны и всеми их подрядчиками, но на практике это означает, что их выполняют все крупнейшие IT-компании и действие требований ощущается далеко за пределами США.
      Даже организациям, которые не обязаны выполнять требования NIST SP 800-63, стоит глубоко ознакомиться с его обновленными требованиями, поскольку они зачастую берутся за основу регуляторами в других странах и индустриях. Более того, свежий документ, прошедший четыре раунда публичных правок с индустриальными экспертами, отражает современный взгляд на процессы идентификации и аутентификации, включая требования к безопасности и конфиденциальности, и с учетом возможного распределенного (федеративного) подхода к этим процессам. Стандарт практичен и учитывает человеческий фактор — то, как пользователи реагируют на те или иные требования к аутентификации.
      В новой редакции стандарта формализованы понятия и описаны требования к:
      passkeys (в стандарте названы syncable authenticators); аутентификации, устойчивой к фишингу; пользовательским хранилищам паролей и доступов — кошелькам (attribute bundles); регулярной реаутентификации; сессионным токенам. Итак, как нужно аутентифицировать пользователей в 2024 году?
      Аутентификация по паролю
      Стандарт описывает три уровня гарантий (Authentication Assurance Level, AAL), где AAL1 соответствует самым слабым ограничениям и минимальной уверенности в том, что входящий в систему пользователь — тот, за кого себя выдает. Уровень AAL3 дает самые сильные гарантии и требует более строгой аутентификации. Только на уровне AAL1 допустим единственный фактор аутентификации, например просто пароль.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Несколько месяцев мы с интересом изучали новую, очень элегантную схему криптомошенничества, жертв которой искусно и неторопливо побуждают установить вредоносное приложение для управления криптовалютой. Впрочем, «жертвами» их можно назвать условно, ведь разработчики этой схемы, словно цифровые Робин Гуды, нацеливают ее в первую очередь на… других воришек! Мы разберем схему обмана и способы защиты криптовалют в деталях.
      Первая приманка
      Все началось с того, что мне в Telegram пришло вполне тривиальное сообщение на криптотематику, пересланное от другого пользователя. Возможно, кто-то другой не увидел бы в этом ничего подозрительного, но… Как тимлид группы аналитиков веб-контента «Лаборатории Касперского» я насторожился и стал изучать пришедший спам детальнее. Текст в нем для ухода от детектирования был «обернут» в пятисекундный видеоролик сo скриншотом объявления о спешной, с огромным дисконтом продаже пары прибыльных криптопроектов и ссылками на них. Первая ссылка на предполагаемый объект продажи вела на небольшую, но реально работающую криптобиржу второго эшелона — вероятнее всего, для усыпления бдительности жертв. Но настоящая приманка скрывалась за второй ссылкой.
      Скриншот сообщения о продаже криптопроектов «обернут» в пятисекундный видеоролик. Повод насторожиться!
       
      View the full article
    • Volodya
      От Volodya
      Здравствуйте. Обнаружил сегодня внезапно нового пользователя John. Погуглив понял, что это какой-то майнер. Не без труда скачал KVRT и проверил через него, нашлось 15 проблем. Вроде все удалилось, сайт открывается, пользователя удалил. Помогите убедиться, что никаких следов майнера не осталось, пожалуйста
      CollectionLog-2024.01.14-01.31.zip
    • Валерий1992
      От Валерий1992
      Столкнулся с такой проблемой: кулера стали шуметь сильно, фпс в играх сильно просел, появился новый пользователь в виндовс - Джон, с паролем. Честно сказать не знаю даже что и делать, вот тебе и скачал игру с торента( Никогда этого не делал, а тут что-то решил и попал. 
    • posix86749
      От posix86749
      Коллеги, всем привет. 
      Начинаем внедрять Kaspersky Secure Mail Gateway 2.0 (2.0.0.6478).
      Прочитал мануал, погуглил, но так и не понял: а как, собственно создать дополнительных локальных пользователей? Как создать роль - понятно, как привязать роль к LDAP пользователю - то же вроде ясно. Но как быть если нужны доп. локальные пользователи помимо встроенного пользователя Administrator, что бы как-то разграничить доступ и знать кто что натворил?
       
×
×
  • Создать...