Новый блокировщик Windows «наказывает» читеров
Новая программа-вымогатель скрывается в установщике популярной программы Artmoney, позволяющей «накручивать» в компьютерных играх число жизней, денег, патронов и т.п., сообщают эксперты антивирусной компании «Доктор Веб».
В инсталлятор злоумышленники добавляют три программы: измененный logonui.exe с именем iogonui.exe (этот файл отвечает за демонстрацию графического интерфейса при входе пользователя в Windows XP) и два самораспаковывающихся архива с bat-файлами.
Традиционно трояны используют для блокировки входа в операционную систему специальное приложение, которое заменяет собой стандартную оболочку Windows или файл userinit.exe и выдает на монитор текст с требованиями киберпреступников.
Одновременно такая программа-вымогатель отслеживает и предотвращает запуск различных вспомогательных утилит, таких, как «Диспетчер задач», «Командная строка», «Редактор реестра» и т. д.
Создатели нового трояна Trojan.Winlock.5729 нашли более простой способ попортить кровь людям.
Новый вирус блокирует операционную систему, используя штатные средства Windows, путем изменения пароля локальных пользователей. При загрузке инфицированной загрузочной программы Artmoney запускается файл password_on.bat.
Он содержит набор команд, проверяющей операционную систему: если на жестком диске присутствует папка c:users, что является характерным признаком ОС Windows Vista и Windows 7, вредоносные компоненты удаляются, если же такая папка отсутствует, троян считает, что он запущен в Windows XP.
Он модифицирует системный реестр, подменяя при загрузке Windows стандартный logonui.exe собственным файлом iogonui.exe, и меняет пароль учетной записи Windows для текущего пользователя и локальных пользователей с именами «admin», «administrator», «админ», «администратор». Если текущий пользователь работает в ограниченной учетной записи, работа троянца прекращается.
Еще один bat-файл — password_off.bat — удаляет все пароли и возвращает в системном реестре оригинальное значение UIHost.
Файл iogonui.exe представляет собой настоящий аутентичный файл logonui.exe из комплекта поставки Windows XP, в котором с помощью редактора ресурсов была изменена стандартная строка приветствия Windows на требование отправить платную sms.
Выполнив выход из системы или перезагрузку, пользователь уже не сможет осуществить вход – ведь пароли всех учетных записей пользователей были изменены.
«Если вы стали жертвой этого троянца, для входа в систему используйте пароль «Спасибо!» (без кавычек), после чего Trojan.Winlock.5729 автоматически сбросит пароли учетных записей, – рекомендуют эксперты. – Если этого не произошло, можно вручную изменить значение параметра UIHost в ветви реестра HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon на logonui.exe».
Юргис Думбляускас