Перейти к содержанию
AM_Bot

Новый винлок блокирует систему, меняя пароль пользователя

Recommended Posts

AM_Bot

13 марта 2011 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — сообщает о появлении нового троянца-блокировщика, добавленного в вирусные базы под именем Trojan.Winlock.5729. Особенность этой программы-вымогателя заключается в том, что она блокирует операционную систему, используя штатные средства Windows, путем изменения пароля локальных пользователей.

Традиционно программы-вымогатели используют для блокировки входа в операционную систему специальное приложение, заменяющее собой стандартную оболочку (shell) Windows или файл userinit.exe и демонстрирующее на экране компьютера соответствующий текст. Одновременно вредоносная программа обычно отслеживает и предотвращает запуск различных вспомогательных утилит, таких как Диспетчер задач, Командная строка, Редактор реестра и т. д. Совершенно по иному, гораздо более простому, но весьма оригинальному пути пошли авторы Trojan.Winlock.5729.

Троянец скрывается в установочном дистрибутиве популярной программы Artmoney, предназначенной для «накрутки» различных ресурсов в компьютерных играх. Помимо реального установщика Artmoney, инсталлятор содержит три файла: измененный файл logonui.exe с именем iogonui.exe (этот файл отвечает за демонстрацию графического интерфейса при входе пользователя в Windows XP) и два самораспаковывающихся архива, содержащих bat-файлы. При загрузке инфицированного инсталлятора запускается первый из них, password_on.bat. Данный файл содержит набор команд, выполняющих проверку операционной системы: если на жестком диске присутствует папка c:users, что является характерным признаком операционной системы Windows Vista и Windows 7, вредоносные компоненты удаляются, если же такая папка отсутствует, троянец считает, что он запущен в Windows XP. В этом случае Trojan.Winlock.5729 модифицирует системный реестр, подменяя при загрузке Windows стандартный logonui.exe собственным файлом iogonui.exe, и меняет пароль учетной записи Windows для текущего пользователя и локальных пользователей с именами «admin», «administrator», «админ», «администратор». Если текущий пользователь работает в ограниченной учетной записи, работа троянца прекращается. Еще один bat-файл — password_off.bat — удаляет все пароли и возвращает в системном реестре оригинальное значение UIHost.

Файл iogonui.exe представляет собой настоящий аутентичный файл logonui.exe из комплекта поставки Windows XP, в котором с помощью редактора ресурсов была изменена стандартная строка приветствия Windows на требование отправить платное СМС-сообщение.

cmp.1.png

Таким образом, выполнив выход из системы или перезагрузку, пользователь уже не сможет осуществить вход, поскольку пароли всех учетных записей пользователей были изменены.

Winlock.5729.1.png

Сигнатура данной угрозы добавлена в вирусные базы Dr.Web. Если вы стали жертвой этого троянца, для входа в систему используйте пароль «Спасибо!» (без кавычек), после чего Trojan.Winlock.5729 автоматически сбросит пароли учетных записей. Если этого не произошло, можно вручную изменить значение параметра UIHost в ветви реестра HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon на logonui.exe.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA

Какой подарок школьнику :lol: За творческую фантазию, твердая пятерка :D

________.jpg

post-6726-1331625577_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
newlaid
Троянец скрывается в установочном дистрибутиве популярной программы Artmoney, предназначенной для «накрутки» различных ресурсов в компьютерных играх.

https://www.virustotal.com/file/f64e54c6d5b...sis/1331628645/

http://camas.comodo.com/cgi-bin/submit?fil...f0484fb1ae59dae

http://anubis.iseclab.org/?action=result&a...amp;format=html

tc40guqb8f6ycr2crcr55.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
она блокирует операционную систему, используя штатные средства Windows, путем изменения пароля локальных пользователей

Ох если так пойдет, то Элкомсофт обогатится на своем софте по восстановлению/сбросу паролей Windows :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ALEX(XX)
Ох если так пойдет, то Элкомсофт обогатится на своем софте по восстановлению/сбросу паролей Windows :)

:) А что, ERD не подойдёт? Да и бесплатен, вроде как.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
А что, ERD не подойдёт? Да и бесплатен, вроде как.

Там разве можно пароль восстановить? Если есть инструкция где-то, интересно взглянуть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Там разве можно пароль восстановить?

Можно сбросить пароли с помощью Locksmith Wizard. http://netler.ru/pc/fault-pwd.htm

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Там разве можно пароль восстановить? Если есть инструкция где-то, интересно взглянуть.

Можно конечно ... почти все Boot диски типа ERD позволяют это делать, только они дают возможность не восстановить пароль, а сбросить его или поменять на заданный...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
только они дают возможность не восстановить пароль, а сбросить его или поменять на заданный...

Вот в этом как раз большая разница. Если у вас используется шифрование диска, привязанное к учетке windows (например, EFS или BitLocker), то сброс пароля просто загубит ваши данные. Придется потом расшифровывать их отдельно.

А вот эта штука умеет именно восстанавливать пароли http://www.elcomsoft.ru/esr.html, а не только сбрасывать их.

Выдержка из докуметации Elcomsoft:

Проблема в том, что сами файлы на диске, защищенные EFS, шифруются с помощью

ключа FEK (File Encryption Key), который хранится в атрибутах файла. FEK зашифрован

master-ключом, а мастер-ключ в свою очередь – ключами пользователей (имеющих доступ

к файлу). Ключи пользователей, соответственно, зашифрованы хэшами паролей этих са-

мых пользователей. Поэтому в случае сброса пароля пользователя в домене доступ к за-

шифрованным EFS данным будет утрачен.

Поэтому можно жестоко наколоться со сбросом пароля.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr

Кажется в EFS специально рекомендуют делать рековери дискетку, да и мало кто пользуется им. Если кто и хочет что то шифровать, то к.п. труЪкрипт и другие криптоконтейнеры.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

OlegAndr

Дык криптоконтейнеры - это другая сущность.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×