AM_Bot

Новый винлок блокирует систему, меняя пароль пользователя

В этой теме 11 сообщений

13 марта 2011 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — сообщает о появлении нового троянца-блокировщика, добавленного в вирусные базы под именем Trojan.Winlock.5729. Особенность этой программы-вымогателя заключается в том, что она блокирует операционную систему, используя штатные средства Windows, путем изменения пароля локальных пользователей.

Традиционно программы-вымогатели используют для блокировки входа в операционную систему специальное приложение, заменяющее собой стандартную оболочку (shell) Windows или файл userinit.exe и демонстрирующее на экране компьютера соответствующий текст. Одновременно вредоносная программа обычно отслеживает и предотвращает запуск различных вспомогательных утилит, таких как Диспетчер задач, Командная строка, Редактор реестра и т. д. Совершенно по иному, гораздо более простому, но весьма оригинальному пути пошли авторы Trojan.Winlock.5729.

Троянец скрывается в установочном дистрибутиве популярной программы Artmoney, предназначенной для «накрутки» различных ресурсов в компьютерных играх. Помимо реального установщика Artmoney, инсталлятор содержит три файла: измененный файл logonui.exe с именем iogonui.exe (этот файл отвечает за демонстрацию графического интерфейса при входе пользователя в Windows XP) и два самораспаковывающихся архива, содержащих bat-файлы. При загрузке инфицированного инсталлятора запускается первый из них, password_on.bat. Данный файл содержит набор команд, выполняющих проверку операционной системы: если на жестком диске присутствует папка c:users, что является характерным признаком операционной системы Windows Vista и Windows 7, вредоносные компоненты удаляются, если же такая папка отсутствует, троянец считает, что он запущен в Windows XP. В этом случае Trojan.Winlock.5729 модифицирует системный реестр, подменяя при загрузке Windows стандартный logonui.exe собственным файлом iogonui.exe, и меняет пароль учетной записи Windows для текущего пользователя и локальных пользователей с именами «admin», «administrator», «админ», «администратор». Если текущий пользователь работает в ограниченной учетной записи, работа троянца прекращается. Еще один bat-файл — password_off.bat — удаляет все пароли и возвращает в системном реестре оригинальное значение UIHost.

Файл iogonui.exe представляет собой настоящий аутентичный файл logonui.exe из комплекта поставки Windows XP, в котором с помощью редактора ресурсов была изменена стандартная строка приветствия Windows на требование отправить платное СМС-сообщение.

cmp.1.png

Таким образом, выполнив выход из системы или перезагрузку, пользователь уже не сможет осуществить вход, поскольку пароли всех учетных записей пользователей были изменены.

Winlock.5729.1.png

Сигнатура данной угрозы добавлена в вирусные базы Dr.Web. Если вы стали жертвой этого троянца, для входа в систему используйте пароль «Спасибо!» (без кавычек), после чего Trojan.Winlock.5729 автоматически сбросит пароли учетных записей. Если этого не произошло, можно вручную изменить значение параметра UIHost в ветви реестра HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon на logonui.exe.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Какой подарок школьнику :lol: За творческую фантазию, твердая пятерка :D

________.jpg

post-6726-1331625577_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Троянец скрывается в установочном дистрибутиве популярной программы Artmoney, предназначенной для «накрутки» различных ресурсов в компьютерных играх.

https://www.virustotal.com/file/f64e54c6d5b...sis/1331628645/

http://camas.comodo.com/cgi-bin/submit?fil...f0484fb1ae59dae

http://anubis.iseclab.org/?action=result&a...amp;format=html

tc40guqb8f6ycr2crcr55.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
она блокирует операционную систему, используя штатные средства Windows, путем изменения пароля локальных пользователей

Ох если так пойдет, то Элкомсофт обогатится на своем софте по восстановлению/сбросу паролей Windows :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ох если так пойдет, то Элкомсофт обогатится на своем софте по восстановлению/сбросу паролей Windows :)

:) А что, ERD не подойдёт? Да и бесплатен, вроде как.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А что, ERD не подойдёт? Да и бесплатен, вроде как.

Там разве можно пароль восстановить? Если есть инструкция где-то, интересно взглянуть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Там разве можно пароль восстановить? Если есть инструкция где-то, интересно взглянуть.

Можно конечно ... почти все Boot диски типа ERD позволяют это делать, только они дают возможность не восстановить пароль, а сбросить его или поменять на заданный...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
только они дают возможность не восстановить пароль, а сбросить его или поменять на заданный...

Вот в этом как раз большая разница. Если у вас используется шифрование диска, привязанное к учетке windows (например, EFS или BitLocker), то сброс пароля просто загубит ваши данные. Придется потом расшифровывать их отдельно.

А вот эта штука умеет именно восстанавливать пароли http://www.elcomsoft.ru/esr.html, а не только сбрасывать их.

Выдержка из докуметации Elcomsoft:

Проблема в том, что сами файлы на диске, защищенные EFS, шифруются с помощью

ключа FEK (File Encryption Key), который хранится в атрибутах файла. FEK зашифрован

master-ключом, а мастер-ключ в свою очередь – ключами пользователей (имеющих доступ

к файлу). Ключи пользователей, соответственно, зашифрованы хэшами паролей этих са-

мых пользователей. Поэтому в случае сброса пароля пользователя в домене доступ к за-

шифрованным EFS данным будет утрачен.

Поэтому можно жестоко наколоться со сбросом пароля.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Кажется в EFS специально рекомендуют делать рековери дискетку, да и мало кто пользуется им. Если кто и хочет что то шифровать, то к.п. труЪкрипт и другие криптоконтейнеры.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

OlegAndr

Дык криптоконтейнеры - это другая сущность.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS