Перейти к содержанию
AM_Bot

Новый винлок блокирует систему, меняя пароль пользователя

Recommended Posts

AM_Bot

13 марта 2011 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — сообщает о появлении нового троянца-блокировщика, добавленного в вирусные базы под именем Trojan.Winlock.5729. Особенность этой программы-вымогателя заключается в том, что она блокирует операционную систему, используя штатные средства Windows, путем изменения пароля локальных пользователей.

Традиционно программы-вымогатели используют для блокировки входа в операционную систему специальное приложение, заменяющее собой стандартную оболочку (shell) Windows или файл userinit.exe и демонстрирующее на экране компьютера соответствующий текст. Одновременно вредоносная программа обычно отслеживает и предотвращает запуск различных вспомогательных утилит, таких как Диспетчер задач, Командная строка, Редактор реестра и т. д. Совершенно по иному, гораздо более простому, но весьма оригинальному пути пошли авторы Trojan.Winlock.5729.

Троянец скрывается в установочном дистрибутиве популярной программы Artmoney, предназначенной для «накрутки» различных ресурсов в компьютерных играх. Помимо реального установщика Artmoney, инсталлятор содержит три файла: измененный файл logonui.exe с именем iogonui.exe (этот файл отвечает за демонстрацию графического интерфейса при входе пользователя в Windows XP) и два самораспаковывающихся архива, содержащих bat-файлы. При загрузке инфицированного инсталлятора запускается первый из них, password_on.bat. Данный файл содержит набор команд, выполняющих проверку операционной системы: если на жестком диске присутствует папка c:users, что является характерным признаком операционной системы Windows Vista и Windows 7, вредоносные компоненты удаляются, если же такая папка отсутствует, троянец считает, что он запущен в Windows XP. В этом случае Trojan.Winlock.5729 модифицирует системный реестр, подменяя при загрузке Windows стандартный logonui.exe собственным файлом iogonui.exe, и меняет пароль учетной записи Windows для текущего пользователя и локальных пользователей с именами «admin», «administrator», «админ», «администратор». Если текущий пользователь работает в ограниченной учетной записи, работа троянца прекращается. Еще один bat-файл — password_off.bat — удаляет все пароли и возвращает в системном реестре оригинальное значение UIHost.

Файл iogonui.exe представляет собой настоящий аутентичный файл logonui.exe из комплекта поставки Windows XP, в котором с помощью редактора ресурсов была изменена стандартная строка приветствия Windows на требование отправить платное СМС-сообщение.

cmp.1.png

Таким образом, выполнив выход из системы или перезагрузку, пользователь уже не сможет осуществить вход, поскольку пароли всех учетных записей пользователей были изменены.

Winlock.5729.1.png

Сигнатура данной угрозы добавлена в вирусные базы Dr.Web. Если вы стали жертвой этого троянца, для входа в систему используйте пароль «Спасибо!» (без кавычек), после чего Trojan.Winlock.5729 автоматически сбросит пароли учетных записей. Если этого не произошло, можно вручную изменить значение параметра UIHost в ветви реестра HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon на logonui.exe.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA

Какой подарок школьнику :lol: За творческую фантазию, твердая пятерка :D

________.jpg

post-6726-1331625577_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
newlaid
Троянец скрывается в установочном дистрибутиве популярной программы Artmoney, предназначенной для «накрутки» различных ресурсов в компьютерных играх.

https://www.virustotal.com/file/f64e54c6d5b...sis/1331628645/

http://camas.comodo.com/cgi-bin/submit?fil...f0484fb1ae59dae

http://anubis.iseclab.org/?action=result&a...amp;format=html

tc40guqb8f6ycr2crcr55.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
она блокирует операционную систему, используя штатные средства Windows, путем изменения пароля локальных пользователей

Ох если так пойдет, то Элкомсофт обогатится на своем софте по восстановлению/сбросу паролей Windows :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ALEX(XX)
Ох если так пойдет, то Элкомсофт обогатится на своем софте по восстановлению/сбросу паролей Windows :)

:) А что, ERD не подойдёт? Да и бесплатен, вроде как.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
А что, ERD не подойдёт? Да и бесплатен, вроде как.

Там разве можно пароль восстановить? Если есть инструкция где-то, интересно взглянуть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Там разве можно пароль восстановить?

Можно сбросить пароли с помощью Locksmith Wizard. http://netler.ru/pc/fault-pwd.htm

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Там разве можно пароль восстановить? Если есть инструкция где-то, интересно взглянуть.

Можно конечно ... почти все Boot диски типа ERD позволяют это делать, только они дают возможность не восстановить пароль, а сбросить его или поменять на заданный...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
только они дают возможность не восстановить пароль, а сбросить его или поменять на заданный...

Вот в этом как раз большая разница. Если у вас используется шифрование диска, привязанное к учетке windows (например, EFS или BitLocker), то сброс пароля просто загубит ваши данные. Придется потом расшифровывать их отдельно.

А вот эта штука умеет именно восстанавливать пароли http://www.elcomsoft.ru/esr.html, а не только сбрасывать их.

Выдержка из докуметации Elcomsoft:

Проблема в том, что сами файлы на диске, защищенные EFS, шифруются с помощью

ключа FEK (File Encryption Key), который хранится в атрибутах файла. FEK зашифрован

master-ключом, а мастер-ключ в свою очередь – ключами пользователей (имеющих доступ

к файлу). Ключи пользователей, соответственно, зашифрованы хэшами паролей этих са-

мых пользователей. Поэтому в случае сброса пароля пользователя в домене доступ к за-

шифрованным EFS данным будет утрачен.

Поэтому можно жестоко наколоться со сбросом пароля.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr

Кажется в EFS специально рекомендуют делать рековери дискетку, да и мало кто пользуется им. Если кто и хочет что то шифровать, то к.п. труЪкрипт и другие криптоконтейнеры.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

OlegAndr

Дык криптоконтейнеры - это другая сущность.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Moraband
      Компьютеры легко защитить антивирусами, а вот как защитить свою страницу в ВК, например, очень мало кто знает. Сам недавно повергался взлому, мало того что потерял страницу, так еще и у друзей мошенники выдурили деньги. Потому, что касается защиты и безопасности далеко не везде она так очевидна и понятна многим пользователям. Что точно знаю, так это то, что защитить аккаунт можно с помощью информации из этой статьи по защите аккаунта  ,  мне очень помогло, теперь хоть могу спать спокойно, что никто уже не взломает, ведь в ВК есть все возможности для защиты, но многие люди не знают об этом. 
    • Moraband
      Лучше бы за взломы в ВК сажали, но увы максимум это блокировка страницы взломщика, а чаще всего вообще никаких санкций нет, при том что владельцы ВК теперь представители мэйл ру, лояльные к правительству. Потому советую людям самим задумываться о своей безопасности в ВК, потому что это сейчас одна из самых актуальных проблем, взломщики активизировались из-за кризиса, деньги всем нужны, потому берут взламывают и клянчат у друзей взломанного пользователя деньги. Всем советую изучить статью по защите от взломов в ВК , чтоб хоть как-то защитить себя . Вот это куда более важное дело, что переживать из-за нецензурной лексики пользователей, но у нас же как всегда борются с тем что не надо, игнорируя важную проблему. 
    • Moraband
      Маил ру, увы, сейчас постепенно захватывает все соц. сети, при этом принося ворох проблем. Последнее время в Вконтакте активизировались мошенники-взломщики, с которыми соц. сеть почему то борется очень слабенько, почти ничего не делая. Если бы блокировали по айпи адресу взломщиков, было бы куда лучше, но увы, этого скорее всего никогда не будет. Потому пользователям надо научиться защищать самостоятельно свой аккаунт и благо способы есть. Мне друг посоветовал статью по защите страницы в ВК от взломов , благодаря которой я могу узнать про различные виды взломов и как им противостоять в этих непростых условиях, всем советую ознакомиться, надеюсь, что сумел кому-то помочь. 
    • Moraband
      А сейчас все чаще практикуют совсем другие взломы, взломы Вконтакте. Вот у меня такое совсем недавно было, взламывали мою страницу. Сейчас еще пошел новый тренд  по мошенническим схемам. Начали просить денег, а друг поверил, что это я и скинул денег. Вообще основная проблема этих взломов, что люди думают, дескать их никогда не взломают, а на деле  это очень даже возможно, особенно если страница достаточно популярна и ее легко найти в поиске. Потому будьте осторожнее и лучше изучите статью, как защитить свой аккаунт Вконтакте   , тут очень хорошо написано, как эффективно бороться с мошенническими схемами, взломщиками и мошенниками, которые уже заполонили просторы ВК. Надеюсь, что взломанных станет хоть чуточку меньше =)
    • Moraband
      Ой, столько мошенников развелось сейчас в интернете, пруд пруди. Недавно столкнулся с новым веянием взломов в Вконтакте и вымогательства денег у друзей пользователя. Сам на такое и попал, а мой друг доверчивый и поверил в бредни, которые рассказывал взломщик, перевел ему 5к руб. От такого никто не застрахован, а причиной большого количества взломов выступает отсутствие знаний у простых пользователей. Потому, вот тут смотрите как защитить свой аккаунт от взлома , это очень полезно и реально даст возможность спать спокойно спать и быть точно уверенным, что в этот момент кто-то не вытягивает последние кровные из ваших друзей. 
×