Trojan.Winlock.5490 угрожает французским пользователям - Современные угрозы и защита от них - Форумы Anti-Malware.ru Перейти к содержанию
AM_Bot

Trojan.Winlock.5490 угрожает французским пользователям

Автор AM_Bot, в Современные угрозы и защита от них

Recommended Posts

AM_Bot    48

AM_Bot
Опубликовано

27 января 2012 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — сообщает о появлении новой модификации программы-блокировщика операционной системы, получившей наименование Trojan.Winlock.5490. Данное вредоносное приложение представляет опасность в основном для французских пользователей Microsoft Windows.

Trojan.Winlock.5490, написанный на языке Си, запускается только на персональных компьютерах, операционная система которых имеет французскую локализацию. Троянец обладает встроенными функциями антиотладки: в процессе загрузки он проверяет, не запущен ли его процесс в среде виртуальных машин VirtualBox, QEmu, VMWare и пр., и в случае, если присутствие виртуальной машины обнаруживается, троянец прекращает свою работу. Напомним, что значительная часть винлоков работает автономно. Они содержат код разблокировки системы либо в собственных ресурсах (в открытом или зашифрованном виде), либо вычисляют его на основе ряда параметров, либо не имеют такого кода вовсе. Trojan.Winlock.5490 относится к последней категории программ-вымогателей: троянец автоматически удаляет сам себя через неделю после установки, однако, заблокировав операционную систему, он «отстукивается» на удаленный сервер злоумышленников, передавая туда информацию об инфицированной машине, введенных жертвой номерах платежных карт, и получает в ответ команду «ок».

WinXP-SP3-2012-01-26-14-20-46.1.png

Оказавшись на компьютере жертвы, Trojan.Winlock.5490 запускает процесс svchost.exe и встраивает в него собственный код, после чего отсылает команду скрытия Панели задач Windows и останавливает все потоки процессов explorer.exe и taskmgr.exe. Затем троянец прописывает себя в ветвь системного реестра, отвечающую за автозагрузку приложений, и демонстрирует на экране окно, содержащее текст на французском языке с требованием заплатить 100 евро с помощью карт оплаты платежных систем Paysafecard или Ukash. Введенный жертвой номер карты отправляется на удаленный командный сервер злоумышленников, а в ответ троянец демонстрирует сообщение приблизительно следующего содержания: «Подождите! Платеж будет обработан в течение 24 часов».

Поскольку данная троянская программа не использует код разблокировки, пострадавшим от ее действий пользователям рекомендуется выполнить проверку компьютера, загрузившись с помощью Dr.Web LiveCD. Также можно попытаться изменить в BIOS компьютера дату (переставив ее на несколько месяцев вперед) и проверить диски с помощью лечащей утилиты Dr.Web CureIt!, либо самостоятельно удалить из ветви реестра SoftwareMicrosoftWindowsCurrentVersionRun данные о запускаемом модуле троянца.

Источник

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

A.    876

A.
Опубликовано

Не нашел этой новости на французском языке

http://news.drweb.fr/

так кому он там угрожает ?

и почему именно французским - он другие версии windows не заражает что ли ?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

CatalystX    25

CatalystX
Опубликовано
и почему именно французским - он другие версии windows не заражает что ли ?

Trojan.Winlock.5490, написанный на языке Си, запускается только на персональных компьютерах, операционная система которых имеет французскую локализацию.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

A.    876

A.
Опубликовано
Trojan.Winlock.5490, написанный на языке Си, запускается только на персональных компьютерах, операционная система которых имеет французскую локализацию.

Запускается ? Описание говорит нам нечто другое :)

http://vms.drweb.com/virus/?i=1776598

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Современные угрозы и защита от них

  • Сообщения

    • Ego Dekker
      Актуальные версии антивируса 19-го поколения

      От Ego Dekker · Опубликовано

      Домашние антивирусы для Windows были обновлены до версии 19.1.14.
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      santy Я бы ввёл лимит - одна новая тема в сутки и всё... Кстати говоря - по поводу ИИ - я там недавно в разделе: Новые функции в ***  написал, но видимо из-за спамеров никто не читал... А между тем...
    • santy
      uVS - Тестирование

      От santy · Опубликовано

      Увы, нет технологий по противодействию спамеров на техническом форуме. По идее, после дублирования нескольких тем с одинаковым контентом учетка должна автоматически заблокироваться, и темы все автоматически удаляться через несколько дней. Где же ты ИИ? :). Спасение форума от спамеров не есть дело рук самих топик стартеров.
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      https://forum.kasperskyclub.ru/topic/471996-pojavljajutsja-v-operativnoj-pamjati-membackdoorwin64agentgen-i-memtrojanmultiagentgen/page/2/#comments Task: {A67FE49E-5424-45F5-9347-257FE1179FF6} - System32\Tasks\Microsoft\Windows\Autochk\KeyPreair => C:\Program Files (x86)\Microsoft\Edge\Application\Msproedg.exe [64080 2026-03-16] (Microsoft 3rd Party Application Component -> ) 1. Предлагаю добавить в меню: Запрос к ИИ 2. Автоматически добавлять ЭТО в подозрительные. Что можно получить при разборе в ИИ. ___Ответ ИИ: ___ Резюме Анализ вредоносной строки из лога FRST   * *Суть записи:* Данная строка представляет собой запись из лога
          программы FRST (Farbar Recovery Scan Tool) и указывает на активное
          вредоносное ПО на компьютере.
        * *Маскировка файла:* Исполняемый файл |Msproedg.exe| имитирует
          легитимный браузер Microsoft Edge, маскируясь под него измененным
          именем. Оригинальный файл браузера должен называться |msedge.exe|.
          Имя |Msproedg.exe| не используется ни одним легальным софтом в мире.
        * *Аномалия размещения:* Вирус прописан в планировщике задач в ветке
          |Microsoft\Windows\Autochk|. В норме эта ветка отвечает
          исключительно за диагностику файловой системы при загрузке
          компьютера и может содержать всего одну легальную задачу — |Proxy|.
          Задача с именем |KeyPreair| здесь нелегальна.
        * *Аномалия размера:* В логе указан размер |64080| байт (около 64 КБ).
          Размер оригинального браузера измеряется в мегабайтах, а не в
          килобайтах.
        * *Аномалия даты (Timestomping):* В логе указана дата |2026-03-16|.
          Вирус намеренно использует технику подделки даты, чтобы скрыться от
          антивирусных сканеров, которые ищут недавно измененные файлы.
        * *Скомпрометированная цифровая подпись:*
            o В логе отображается строка: |(Microsoft 3rd Party Application
              Component -> )|.
            o Сертификат |Microsoft Windows Third Party Application Component|
              (и его сокращенный вариант) действительно существует. Это
              легальный сертификат Microsoft для подписи софта сторонних
              разработчиков, который официально интегрируется в систему
              (компоненты Teams, DirectX).
            o У оригинального браузера Edge подпись всегда выглядит как
              |(Microsoft Corporation)|. В данном же случае пустая стрелочка в
              конце |-> )| показывает цепочку доверия Authenticode.
            o В легальном файле FRST проверяет издателя и замыкает цепочку:
              |(Microsoft 3rd Party Application Component -> Microsoft
              Corporation)|. Пустота после стрелки в вашем логе — это
              технический признак того, что вирус скопировал чужой блок
              подписи, но криптографическая проверка Authenticode провалилась.      
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      demkd Если так с рекламой на форуме продолжиться - форум закроют :)
×