Blokkoló rendszer megváltoztatásával a felhasználó jelszavát
Trojan.Winlock.5729 (ezen a néven tette hozzá a vírus „Doctor Web” bázis) találtak a telepítőcsomag programot ArtMoney aki játszik játékok, tudja, hogy ez egy nagyon hasznos dolog, csomagolási források például. A telepítőcsomag ArtMoney. magában foglalja a 3 fájlokat - módosított logonui.exe elemzi iogonui.exe (fájl, amely felelős NE kijelző bejáratánál Win XP), valamint két önkicsomagoló archívum a bat-fájlokat.
az algoritmus
Letöltése Change telepítő automatikusan elindul password_on.bat, amely sistoit egy sor parancs, amelynek célja, hogy teszteljék az operációs rendszer - ezen a módon, ha az egyik a fizikai lemezek van egy mappa C: \ Users \ - ez azt jelenti, hogy az operációs rendszer Win Vista / Win 7. minden pusztító csomagokat törli magát, ellenkező esetben, ha ez a mappa nem létezik, a trójai sugallják működik a Win XP. Aztán az behatol a jegyzék és módosíthatja, felülírva a standard vindosovsky logonui.exe fájl iogonui.exe, és természetesen megváltoztatja a jelszót a jelenlegi Windows felhasználói fiókot, és más helyi felhasználók számára a „admin” nevet „ügyintéző”, „admin”, " rendszergazda ". Figyelemre méltó, hogy ha a felhasználó bejelentkezett egy korlátozott felhasználó, a trójai beszünteti tevékenységét. Tovább bat-file - password_off.bat - visszaállítja a jelszavakat, és visszatér az eredeti értékét a rendszer uihost.
Ie ha a felhasználó szeretné újraindítani vagy módosítsa a fiókot kap blokkolt rendszer és a következő képernyő jelenik meg:
Mint már említettük, az aláírás hozzáadjuk a Dr.Web vírusadatbázis. így kézművesek cégek már törölte a veszély, ha felkapott egy trójai jelszó - „Köszönöm!” (idézőjelek nélkül), majd törölje az összes Winlock.5729 jelszavakat uchetok. De abban az esetben, ha a jelszó nem működik, akkor a gépet bármilyen Live CD-és kezeli változás a rendszerleíró érték uihost beállítás (HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon) a logonui.exe.