Долго мы боролись с различными вымогателями и блокираторами MBR, но вирусописатели не спят, и весной встречаем новое детище! Троян-блокировщик, добавленный в вирусные базы под названием Trojan.Winlock.5729. Отличительной особенностью этого вируса-вымогателя заключается в том, что она блокирует операционную систему, используя штатные средства Windows, путем изменения пароля локальных пользователей.

Новый блокиратор Trojan.Winlock.5729  

До этого времени вирусы-блокираторы использовали для блокировки входа в операционную систему Windows специальное приложение, заменяющее собой стандартную оболочку (shell) Windows или файл userinit.exe и показывающее на экране компьютера провокационный текст. Одновременно вредоносная программа обычно отслеживает и предотвращает запуск различных вспомогательных утилит, таких как Диспетчер задач, Командная строка, Редактор реестра и т. д. авторы Trojan.Winlock.5729 пошли по другому, гораздо более простому, но весьма оригинальному пути.

Троянский конь скрывается в измененном хакером файле установки популярной программы Artmoney, предназначенной для взлома и редактирования различных ресурсов в компьютерных играх. В дополнении к настоящему установочному Artmoney, инсталлятор содержит три файла: измененный файл logonui.exe с именем iogonui.exe (этот файл отвечает за демонстрацию графического интерфейса при входе пользователя в Windows XP) и два самораспаковывающихся архива, содержащих bat-файлы. Во время запуска зараженного установочного файла первым делом запускается password_on.bat, который содержит набор команд, выполняющих проверку операционной системы. Проверяет наличие на винчестере каталога c:\users\, который свидетельствует присутствия установленной операционной системы Windows Vista и Windows 7. В этом случае вирус удаляется, если же этой папки он не находит, троянская программа считает, что он запущен в Windows XP. Тогда Trojan.Winlock.5729 изменяет системный реестр, подменяя при загрузке Windows стандартный logonui.exe собственным файлом iogonui.exe, и меняет пароль учетной записи Windows для текущего пользователя и локальных пользователей с именами:

• «admin» 
• «administrator» 
• «админ» 
• «администратор» 

Но текущий пользователь работает в ограниченной учетной записи, работа троянца прекращается. Еще один bat-файл — password_off.bat — удаляет все пароли пользователей и в системном реестре возвращает оригинальное значение UIHost.

Файл iogonui.exe представляет собой копию оригинального файла logonui.exe из установочного дистрибутива Windows XP, в котором с помощью редактора ресурсов была изменена стандартная строка приветствия Windows на требование отправить платное СМС-сообщение.

Выполнив выход из системы или перезагрузку, пользователь уже не сможет войти, поскольку пароли всех учетных записей пользователей были изменены.

Если вы стали жертвой этого вируса, то для входа в систему используйте пароль «Спасибо!» (без кавычек), после чего Trojan.Winlock.5729 автоматически сбросит пароли учетных записей. Если этого не произошло, можно вручную изменить значение параметра UIHost в ветви реестра

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon на logonui.exe.

Источник: Доктор Веб