Trojan.Winlock.5490 угрожает французским пользователям - Современные угрозы и защита от них - Форумы Anti-Malware.ru Перейти к содержанию
AM_Bot

Trojan.Winlock.5490 угрожает французским пользователям

Автор AM_Bot, в Современные угрозы и защита от них

Recommended Posts

AM_Bot    48

AM_Bot
Опубликовано

27 января 2012 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — сообщает о появлении новой модификации программы-блокировщика операционной системы, получившей наименование Trojan.Winlock.5490. Данное вредоносное приложение представляет опасность в основном для французских пользователей Microsoft Windows.

Trojan.Winlock.5490, написанный на языке Си, запускается только на персональных компьютерах, операционная система которых имеет французскую локализацию. Троянец обладает встроенными функциями антиотладки: в процессе загрузки он проверяет, не запущен ли его процесс в среде виртуальных машин VirtualBox, QEmu, VMWare и пр., и в случае, если присутствие виртуальной машины обнаруживается, троянец прекращает свою работу. Напомним, что значительная часть винлоков работает автономно. Они содержат код разблокировки системы либо в собственных ресурсах (в открытом или зашифрованном виде), либо вычисляют его на основе ряда параметров, либо не имеют такого кода вовсе. Trojan.Winlock.5490 относится к последней категории программ-вымогателей: троянец автоматически удаляет сам себя через неделю после установки, однако, заблокировав операционную систему, он «отстукивается» на удаленный сервер злоумышленников, передавая туда информацию об инфицированной машине, введенных жертвой номерах платежных карт, и получает в ответ команду «ок».

WinXP-SP3-2012-01-26-14-20-46.1.png

Оказавшись на компьютере жертвы, Trojan.Winlock.5490 запускает процесс svchost.exe и встраивает в него собственный код, после чего отсылает команду скрытия Панели задач Windows и останавливает все потоки процессов explorer.exe и taskmgr.exe. Затем троянец прописывает себя в ветвь системного реестра, отвечающую за автозагрузку приложений, и демонстрирует на экране окно, содержащее текст на французском языке с требованием заплатить 100 евро с помощью карт оплаты платежных систем Paysafecard или Ukash. Введенный жертвой номер карты отправляется на удаленный командный сервер злоумышленников, а в ответ троянец демонстрирует сообщение приблизительно следующего содержания: «Подождите! Платеж будет обработан в течение 24 часов».

Поскольку данная троянская программа не использует код разблокировки, пострадавшим от ее действий пользователям рекомендуется выполнить проверку компьютера, загрузившись с помощью Dr.Web LiveCD. Также можно попытаться изменить в BIOS компьютера дату (переставив ее на несколько месяцев вперед) и проверить диски с помощью лечащей утилиты Dr.Web CureIt!, либо самостоятельно удалить из ветви реестра SoftwareMicrosoftWindowsCurrentVersionRun данные о запускаемом модуле троянца.

Источник

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

A.    876

A.
Опубликовано

Не нашел этой новости на французском языке

http://news.drweb.fr/

так кому он там угрожает ?

и почему именно французским - он другие версии windows не заражает что ли ?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

CatalystX    25

CatalystX
Опубликовано
и почему именно французским - он другие версии windows не заражает что ли ?

Trojan.Winlock.5490, написанный на языке Си, запускается только на персональных компьютерах, операционная система которых имеет французскую локализацию.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

A.    876

A.
Опубликовано
Trojan.Winlock.5490, написанный на языке Си, запускается только на персональных компьютерах, операционная система которых имеет французскую локализацию.

Запускается ? Описание говорит нам нечто другое :)

http://vms.drweb.com/virus/?i=1776598

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Современные угрозы и защита от них

  • Сообщения

    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      Небольшое исправление, следующее обновление будет чисто интерфейсным и можно будет выпускать v5.0 ---------------------------------------------------------
       4.99.14
      ---------------------------------------------------------
       o Исправлена ошибка при подключении к удаленному компьютеру с Win11:
         в удаленную систему не передавалась база известных файлов.

       o Функция защиты от внедрения потоков работала неправильно если параметр bFixedName не был указан
         в settings.ini или он был равен 0.
       
    • Ego Dekker
      Актуальные версии антивируса 18-го поколения

      От Ego Dekker · Опубликовано

      Домашние антивирусы для Windows были обновлены до версии 18.1.13.
    • santy
      uVS - оффтопик

      От santy · Опубликовано

      RP55, если самозапрет не делал на публикации в соф.сетях, то возможно есть проблемы у некоторых провайдеров при получении доступа к сайте АМ.
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      ---------------------------------------------------------
       4.99.13
      ---------------------------------------------------------
      Краткое содержание, подробнее читайте whatsnew.

       o Добавлен новый режим захвата экрана DDAL с поддержкой сжатия с потерей качества.

       o Добавлена защита начального уровня от внедрения потоков в адресное пространство uVS.

       o В меню Руткиты добавлен пункт "Найти и удалить сплайсинг из всех загруженных в uVS известных DLL".

       o Модуль антисплайсинга улучшен до версии 2.0. Теперь контролируются все экспортируемые
         функции всех известных DLL, загруженных в uVS.
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      Видимо форум не даёт мне публиковать текст больше чем Х символов. Или где "много" строк.  
×