A vírus megváltoztatta a felhasználó jelszavát, az új trójai Winlock
Hosszú ideig szenvedtünk különböző extortionists és reteszek MBR. de a vírusírók nem alszik, és tavasszal megfeleljenek az új baba! Trojan-blokkoló adunk a vírusadatbázis nevű Trojan.Winlock.5729. A megkülönböztető jegye a vírus-zsaroló, hogy gátolja az operációs rendszert. A Windows rendszerben megszokott eszközökkel. megváltoztatásával a helyi felhasználó jelszavát.
Trójai rejtett egy módosított hacker telepíteni ArtMoney népszerű program fájlt, hogy használják a törés és szerkesztése a különböző források a számítógépes játékok. Amellett, hogy ez a szerelési ArtMoney, a telepítő három fájlt tartalmaz: egy fájlt a módosított logonui.exe iogonui.exe neve (ez a fájl felelős a grafikus felület bemutató amikor egy felhasználó bejelentkezik a Windows XP), és két önkicsomagoló archív tartalmazó bat-fájlokat. Végrehajtása során a fertőzött fájl telepítés elindul első dolog password_on.bat. amely egy sor végrehajtott utasítások az operációs rendszer ellenőrzi. Ellenőrzi a merevlemez c: \ users \. amelyek jelenlétét jelzi a telepített operációs rendszer Windows Vista és a Windows 7. Ebben az esetben a vírus eltávolítása, ha a mappa nem talál egy trójai úgy találja, hogy fut a Windows XP. Ezután Trojan.Winlock.5729 módosítja a rendszerleíró adatbázis helyett a szabványos Windows indításakor logonui.exe saját file iogonui.exe, és változtassa meg a jelszavát a Windows-fiókot az aktuális felhasználó számára, és a helyi felhasználó neveket:
De a jelenlegi felhasználó fut egy korlátozott fiókot, a trójai munka megáll. Tovább bat-file - password_off.bat - törli az összes felhasználói jelszavakat a registry-ben visszatér az eredeti érték UIHost.
Jelentkezzen ki vagy indítsa újra a felhasználó nem lesz képes belépni, mert a jelszavakat az összes felhasználói fiók módosult.
Ha az áldozat a vírus, akkor jelentkezzen be a jelszó segítségével „Köszönöm!” (Idézőjelek nélkül), majd automatikusan visszaáll Trojan.Winlock.5729 fiók jelszavakat. Ha nem, akkor kézzel nem módosítja a rendszerleíró UIHost ág
HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon a logonui.exe.
Forrás: Dr. Web