Свежая новость
Пожар в Тбилиси
Пожар в ТбилисиНа месте происшествия работают десятки пожарных бригад Утром 15 ноября в пригороде Тбилиси произошел пожар на территории торгового центра Lilo Mall, который является крупнейшим ТЦ Грузии.
Новое оборудование
Барсетка со встроенной микрокамерой и регистратором
Барсетка со встроенной микрокамерой и регистраторомБарсетка со встроенной микрокамерой и регистратором
Компания из справочника:

Записей не найдено.

Появился новый троянский вирус

Дата публикации: 03.04.2012
Теги: интернет

Компания «доктор Веб» сообщает о появлении нового компьютерного вируса-трояна.

Это вирус-блокиратор, его особенность в том, что она блокирует операционную систему, используя штатные средства Windows, путем изменения пароля локальных пользователей.

Программы-вымогатели используют для блокировки входа в операционную систему специальное приложение, которое заменяет собой стандартную оболочку Windows или файл userinit.exe и демонстрируюетна экране компьютера соответствующий текст. Одновременно вредоносная программа обычно отслеживает и предотвращает запуск различных вспомогательных утилит, таких как Командная строка,  Диспетчер задач,  Редактор реестра и т. д. По гораздо более простому и оригинальному пути пошли пошли авторы Trojan.Winlock.5729.

Вирус скрывается в установочном дистрибутиве популярной программы Artmoney,Ю которая служит для «накрутки» различных ресурсов в компьютерных играх. Кроме реального установщика Artmoney, инсталлятор содержит ещё три файла: измененный файл logonui.exe с именем iogonui.exe (этот файл отвечает за демонстрацию графического интерфейса при входе пользователя в Windows XP) и два самораспаковывающихся архива, содержащих bat-файлы. При загрузке инфицированного инсталлятора запускается первый из них, password_on.bat. Данный файл содержит набор команд, выполняющих проверку операционной системы: если на жестком диске присутствует папка c:\users\, что является характерным признаком операционной системы Windows Vista и Windows 7, вредоносные компоненты удаляются, если же такая папка отсутствует, троянец считает, что он запущен в Windows XP. В этом случае Trojan.Winlock.5729 модифицирует системный реестри подменяет при загрузке Windows стандартный logonui.exe собственным файлом iogonui.exe, и меняет пароль учетной записи Windows для текущего пользователя и локальных пользователей с именами «admin», «administrator», «админ», «администратор». Если текущий пользователь работает в ограниченной учетной записи, работа троянца прекращается. Еще один bat-файл - password_off.bat - удаляет все пароли и возвращает в системном реестре оригинальное значение UIHost.

Сигнатура данной угрозы добавлена в вирусные базы Dr.Web. Если вы стали жертвой этого вируса-троянца, для входа в систему используйте пароль «Спасибо!» (без кавычек), после чего Trojan.Winlock.5729 автоматически сбросит пароли учетных записей. Если этого не произошло, можно вручную изменить значение параметра UIHost в ветви реестра HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon на logonui.exe.

ОТЗЫВЫ: (отзывы содержащие нецензурную лексику и рекламного характера будут удаляться! Спасибо за понимание.)
Новинка раздела
Сетевые мошенники угрожают пользователям

Из-за сложной ситуации в мире и растущей всё больше безработицей увеличивается количество случаев мошеннических действий в отношении людей, активно ищущих работу, — в том числе и в Интернете. Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает пользователей об одном из распространенных видов сетевого мошенничества, применяемого злоумышленниками в отношении пользователей,...



Через Chrome-расширения была проведена атака на Facebook

Была обнаружена зловредная программа, которая захватывает пользовательский аккаунт в социальной сети Facebook, маскируясь под Chrome-расширение. Самое удивительное, что вредоносное расширение (троянская программа Trojan.JS.Agent.bxo) распространялось через официальный Google Chrome Web Store под названием «Adobe Flash Player».

На момент проверки расширение успела установить почти тысяча человек.

После установки, расширение может  производить...