Новый IRC-бот распространяет спам в IM-сетях

25.05.2012 [10:59], Сергей и Марина Бондаренко

Компания «Доктор Веб» сообщила о распространении новой модификации IRC-бота, добавленного в вирусные базы под именем BackDoor.IRC.IMBot.2. Как и другие представители данного семейства, этот бот способен рассылать спам в сетях мгновенного обмена сообщениями, загружать на инфицированный компьютер и запускать исполняемые файлы, а также осуществлять по команде с управляющего сервера DDoS-атаки.

Существует огромное количество модификаций троянских программ, использующих в своей работе IRC (Internet Relay Chat) — протокол, позволяющий реализовать обмен сообщениями в режиме реального времени. Более того, новые версии IRC-ботов появляются с завидной регулярностью. С этой точки зрения BackDoor.IRC.IMBot.2 можно было бы назвать типичным представителем данного семейства, если бы не одно отличие.

BackDoor.IRC.IMBot.2 распространяется аналогично другим известным IRC-ботам: сохраняет себя на сменные носители под именем usb_driver.com и создает в корневой директории файл autorun.inf, с помощью которого осуществляется запуск троянца при подключении устройства (если данная функция не была заранее заблокирована в настройках операционной системы).

Запускаясь в инфицированной системе, BackDoor.IRC.IMBot.2 сохраняет себя в папку установки Windows и вносит соответствующие изменения в ветвь системного реестра, отвечающую за автозапуск приложений. Также BackDoor.IRC.IMBot.2 изменяет настройки брандмауэра Windows, для того чтобы обеспечить себе соединение с Интернетом.

Наиболее интересной чертой данного бота является встроенный в него своеобразный механизм поиска процессов с именами dumpcap, SandboxStarter, tcpview, procmon, filemon. Будучи запущенным на компьютере жертвы, троянец обращается к разделу системного реестра HKEY_PERFORMANCE_DATA, отвечающего за определение производительности ПК, и ищет с помощью размещающихся в данном разделе счетчиков запущенные в операционной системе процессы. Данный алгоритм интересен тем, что ранее он не встречался в других вредоносных программах подобного типа.

BackDoor.IRC.IMBot.2 способен загружать и запускать на инфицированном компьютере исполняемые файлы, распространять спам в сетях, использующих для обмена сообщениями программы MSN Messenger, AOL Instant Messenger, Yahoo! Messenger, а также по команде с удаленного сервера организовывать DDoS-атаки.

Материалы по теме:

• Обнаружен новый IRC-бот, способный осуществлять DDoS-атаки;
• "Лаборатория Касперского" отметила новый виток атак на компьютеры Mac;
• Обнаружен новый червь, заражающий RAR-архивы.

Источник:

• news.drweb.com

Trojan.Hosts.5858 блокирует доступ в Интернет

24.05.2012 [09:02], Сергей и Марина Бондаренко

Компания «Доктор Веб» сообщила о широком распространении вредоносной программы Trojan.Hosts.5858, угрожающей в первую очередь немецкоязычным пользователям. Троянец перенаправляет жертву при запросе в браузере на принадлежащий злоумышленникам веб-сайт, требующий оплатить разблокировку доступа в Интернет с помощью кредитной карты.

Прежде всего, Trojan.Hosts.5858 загружается на компьютеры, уже инфицированные вредоносной программой семейства BackDoor.Andromeda, — эта угроза способна скачивать с сайтов злоумышленников исполняемые файлы. Вместе с Trojan.Hosts.5858 на зараженный компьютер могут быть также загружены другие троянцы (Trojan.Spambot.11349 и BackDoor.IRC.Aryan.1).

Запустившись в операционной системе, Trojan.Hosts.5858 модифицирует файл hosts, расположенный во вложенных папках системной директории Windows и отвечающий за трансляцию сетевых адресов сайтов в их DNS-имена. В результате при попытке перейти на один из популярных интернет-ресурсов, таких как Facebook, Google, Yahoo и т. д., браузер автоматически перенаправляется на специально созданную злоумышленниками веб-страничку, сообщающую на немецком языке о том, что доступ в Интернет заблокирован. Для «разблокировки» пользователю предлагается передать вирусописателям реквизиты его банковской карты.

Материалы по теме:

• Обнаружен новый IRC-бот, способный осуществлять DDoS-атаки;
• "Лаборатория Касперского" отметила новый виток атак на компьютеры Mac;
• Обнаружен новый червь, заражающий RAR-архивы.

Источник:

• news.drweb.com

Обнаружен новый IRC-бот, способный осуществлять DDoS-атаки

22.05.2012 [10:26], Сергей и Марина Бондаренко

Компания «Доктор Веб» сообщила распространении вредоносной программы BackDoor.IRC.Aryan.1, способной загружать с удаленного сервера злоумышленников различные файлы и устраивать DDoS-атаки по команде с IRC-сервера (IRC (Internet Relay Chat) — протокол, позволяющий реализовать обмен сообщениями в режиме реального времени).

Вредоносное приложение BackDoor.IRC.Aryan.1 можно отнести к категории IRC-ботов. Программа распространяется самокопированием на съемные носители путем создания в корневой директории диска инфицированной папки и файла автозапуска autorun.inf. Кроме того, BackDoor.IRC.Aryan.1 применяет еще один способ заражения сменных носителей информации: бот копирует себя на съемный диск, прячет обнаруженные файлы в созданную им папку, а вместо них помещает ярлыки, ссылающиеся как на спрятанный оригинальный файл, так и на саму вредоносную программу. В результате при активизации такого ярлыка пользователем, помимо открытия искомого файла, запускается BackDoor.IRC.Aryan.1. Успешно инфицировав диск, бот отправляет соответствующее сообщение на специально созданный злоумышленниками IRC-канал.

Затем вредоносная программа копирует себя в одну из папок как svmhost.exe и помещает ссылку на данный файл в ветвь системного реестра, отвечающую за автоматический запуск приложений при загрузке Windows. Также бот пытается встроить код в процесс explorer.exe.

Помимо прочего, BackDoor.IRC.Aryan.1 обладает механизмом самозащиты: в отдельном потоке бот постоянно проверяет свое наличие на диске и, в случае отсутствия соответствующего файла в целевой папке, сохраняет его туда из оперативной памяти. Параллельно осуществляется проверка наличия соответствующей записи в системном реестре Windows. Также BackDoor.IRC.Aryan.1 пытается встроить код, задачей которого является систематический перезапуск вредоносной программы, в процессы csrss.exe, alg.exe и dwm.exe.

Материалы по теме:

• Обнаружен новый червь, заражающий RAR-архивы;
• Symantec: масштабы киберпреступности на Украине увеличились;
• "Лаборатория Касперского": спамеры нацелились на геймеров и пользователей Facebook.

Источник:

• news.drweb.com

Новые троянцы заражают Android-устройства с root-доступом

04.05.2012 [16:57], Сергей и Марина Бондаренко

Компания «Доктор Веб» выявила новые вредоносные программы для операционной системы Android. Под ударом находятся владельцы мобильных устройств, использующие систему с повышенными привилегиями.

Новые троянцы распространяются злоумышленниками вместе с легитимными приложениями через популярные сайты-сборники программного обеспечения и используют довольно интересный механизм работы. Вредоносные программы реализуют принцип «матрешки»: модифицированное приложение (детектируется Dr.Web как Android.MulDrop.origin.3) содержит другой программный пакет (apk-файл), который зашифрован. Фактически первое приложение является дроппером — своеобразным контейнером, служащим для доставки других вредоносных программ.

Немаловажной деталью является то, что создатели троянца в качестве основы для дроппера выбрали определенный тип приложений: системные утилиты, конфигураторы и т. д. Подобная разборчивость легко объясняется тем, что для работы большинства из них требуются права администратора, поэтому, когда после запуска такое приложение запрашивает root-доступ, пользователь может ничего не заподозрить.

В случае успешного получения необходимых привилегий Android.MulDrop.origin.3 расшифровывает скрытый в нем apk-файл и помещает его в системный каталог (/system/app/ под именем ComAndroidSetting.apk). Как это ни удивительно, но данное приложение, добавленное в вирусные базы как Android.MulDrop.origin.4, также является дроппером. Как и Android.MulDrop.origin.3, он содержит зашифрованный apk-пакет. Троянец активируется после очередного запуска системы, расшифровывает и устанавливает скрытый внутри него программный пакет, который, в свою очередь, является троянцем-загрузчиком и детектируется как Android.DownLoader.origin.2.

Android.DownLoader.origin.2 также имеет функцию автозапуска. После старта системы он соединяется с удаленным сервером и получает список приложений, которые ему необходимо загрузить и установить. В этом списке могут находиться как другие вредоносные программы, так и вполне безобидные приложения. Все зависит лишь от фантазии злоумышленников и преследуемых ими целей.

Материалы по теме:

• Защитная экипировка: обзор антивирусных решений для Android;
• На всякий пожарный: загрузочные диски скорой антивирусной помощи.

Источник:

• news.drweb.com

Нашествие троянцев-шифровальщиков — одно из главных вирусных событий апреля

04.05.2012 [14:48], Сергей и Марина Бондаренко

Компания "Доктор Веб" опубликовала отчет о вирусной активности в апреле этого года. Специалисты отмечают, что прошлый месяц был отмечен нашествием троянцев-шифровальщиков, обеспокоивших сначала жителей западноевропейских стран, а чуть позже — и пользователей по всему миру.

Ближе к середине месяца в антивирусную лабораторию компании «Доктор Веб» стали поступать сообщения от иностранных пользователей, пострадавших в результате действия троянцев-энкодеров и прежде всего вредоносной программы Trojan.Encoder.94. Как и другие представители данного семейства шифровальщиков, Trojan.Encoder.94 отыскивает на дисках инфицированного компьютера пользовательские файлы, в частности, документы Microsoft Office, музыку, фотографии, картинки и архивы, после чего шифрует их. Зашифровав пользовательские файлы, троянец выводит на экран сообщение, требующее выплатить злоумышленникам сумму в размере 50 евро или фунтов стерлингов с помощью платежных систем Ukash или Paysafecard.

Троянец имеет англоязычный интерфейс, однако случаи заражения уже были зафиксированы в Германии, Италии, Испании, Англии, Польше, Австрии, Норвегии, Болгарии и некоторых других странах. Вскоре стали поступать сообщения от жителей Бразилии, Аргентины, других государств Латинской Америки. География заражений троянцем охватила практически всю Европу, включая такие страны, как Хорватия, Швейцария, Нидерланды, Словения и Бельгия, Франция, Венгрия и Румыния.

В начале месяца специалистами компании «Доктор Веб» также была обнаружена первая в истории масштабная бот-сеть, состоящая из компьютеров, работающих под управлением операционной системы Mac OS X. Чуть позже компания «Доктор Веб» сообщила об установлении контроля над ботнетом Win32.Rmnet.12, численность которого превысила миллион инфицированных компьютеров.

Материалы по теме:

• Обновлена утилита для расшифровки файлов, зараженных Trojan.Encoder.102;
• Выпущена бесплатная утилита для расшифровки файлов после Trojan.Matsnu.1;
• Выпущен бесплатный Dr.Web Light 7 для Android.

Источник:

• news.drweb.com

McAfee AVERT Stinger 10.2.0.601: поиск вирусов

03.05.2012 [19:33], Сергей и Марина Бондаренко

Обновилась бесплатная антивирусная утилита, с помощью которой можно отлавливать самые «популярные» в сети вирусы. Программа имеет простенький интерфейс, а процесс сканирования файлов на диске не нагружает систему. McAfee AVERT Stinger отличается небольшим размером и не требует инсталляции, благодаря чему ее можно запускать с USB-накопителя.

Разработчик: Networks Associates
Распространяется: беcплатно
Операционная система: Windows All
Размер 8,68 Мбайт
Скачать можно отсюда.

Материалы по теме:

• Anti-Trojan Elite 5.62: защита от троянов;
• Евгений Касперский: Паранойя — это хорошо.

Источник:

• Networks Associates

Выпущена бесплатная утилита для расшифровки файлов после Trojan.Matsnu.1

01.05.2012 [18:00], Сергей и Марина Бондаренко

Компания «Доктор Веб» выпустила специальную утилиту, с помощью которой пользователи смогут самостоятельно расшифровать файлы, поврежденные троянцем Trojan.Matsnu.1. Утилита доступна для бесплатного скачивания.

Троян попадает на компьютеры через электронную почту. Рассылаемое злоумышленниками письмо написано на немецком языке и имеет заголовок вида Ute Lautensack Vertrag Nr 46972057. Послание содержит вложенный zip-архив с именем Abrechnung или Rechnung. Попытка запустить вложенную в эти архивы программу приводит к тому, что все файлы на дисках компьютера жертвы будут зашифрованы.

Если расшифровать файлы с использованием данной утилиты не удалось либо данный процесс завершился с ошибками, пользователи могут обратиться за помощью в антивирусную лабораторию компании «Доктор Веб», создав тикет в категории «Запрос на лечение». Эта услуга бесплатна.

Материалы по теме:

• Обнаружен новый ботнет из миллиона компьютеров на базе Windows;
• Новая мошенническая схема нацелена на тех, кто ищет работу в Интернете.

Источник:

• news.drweb.com

TapLogger: инновационный троян для Android

26.04.2012 [15:51], Андрей Коробкин

Производители смартфонов и планшетов много работают для того, чтобы обеспечить безопасность хранимой на гаджетах информации, однако некоторые разработчики стремятся продемонстрировать различные подходы к ее получению, выпуская всевозможные вирусы и трояны. Исследователи из Университета Пенсильвании и корпорации IBM создали новую троянскую программу TapLogger, которая записывает и передает всю конфиденциальную информацию, получаемую через сенсорный дисплей устройства на базе Android.

Благодаря вирусу злоумышленники могут получать фактические данные регистрации, логины, пароли, текстовые сообщения, заметки, PIN-коды и другую информацию, которая вводится пальцем на экране. Сообщается, что троянская программа представляет собой новую концепцию получения данных, аналогов которой в мире пока нет. Сама же TappLogger состоит всего из двух компонентов – игры HostApp, где пользователь должен искать одинаковые картинки среди представленных на экране, и, собственно, самого трояна, который работает незаметно для обладателя гаджета. Стоит отметить, что игра нужна не просто для маскировки вируса: при помощи игры программа получает информацию о физических размерах дисплея, особенности взаимодействия пользователя с ним, а также вероятности «промазать» мимо кнопки. Таким образом, пользователь сам «тренирует» TapLogger, делая его более совершенным для получения конфиденциальной информации.

Материалы по теме:

• Новая модификация троянца Android.Gongfu скрывается в дистрибутиве Angry Birds Space;
• Пользователей Рунета все больше раздражают трояны и спам;
• Anti-Trojan Elite 5.62: защита от троянов.

Источник:

• gizmodo.com

Office-файлы сейчас более всего подвержены уязвимости

25.04.2012 [18:54], Евгений Лазовский

Исследователи из McAfee предупреждают, что Microsoft Office и другие продукты, использующие MSCOMCTL.OCX, на данный момент больше всего подвержены уязвимости.

В апреле 2012-го года был выпущен ряд обновлений, помогающих избавиться от данной проблемы, однако многим пользователям не удалось установить их, благодаря чему у злоумышленников до сих пор имеется возможность производить вредоносные операции на чужих компьютерах.

Эксперты выяснили, что заражённые RTF-, Excel- и Word-файлы приходят на почту с прикреплёнными к ним уязвимыми OLE-объектами. Когда такой файл открывают, пользователь видит самый обыкновенный документ, однако в то же время в систему уже внедряется троян.

Всё начинает с того, что документ открывается и в OLE-файле срабатывает шелл-код. Затем с помощью него в папку Temp устанавливается троян. В то же время шелл-код запускает новый процесс и открывает заражённый документ, который помещается в ту же папку, что и вредоносный объект. Таким образом, пользователь видит только абсолютно нормальный документ.

Для того чтобы оградить себя от опасности, достаточно установить необходимые апдейты от Microsoft. Также пользователям стоит быть бдительными и не запускать подозрительные файлы, которые они получают посредством электронной почты. 

Материалы по теме:

• Новый Trojan.Winlock блокирует систему, меняя пароль пользователя;
• Троянец для Mac OS X прячется за фотографией российской фотомодели;
• Новый троян из Ирана модифицирует фотографии на Android-устройствах;
• Trojan.Tenagour.9: троянец для совершения DDoS-атак.

Источник:

• news.softpedia.com

Обнаружено поддельное приложение Instagram для Android

20.04.2012 [10:16], Андрей Крупин

Эксперты антивирусной компании Sophos предупреждают владельцев мобильных Android-устройств о появлении новой вредоносной программы, распространяемой злоумышленниками под видом популярного приложения для публикации фотографий Instagram.

Обнаруженный специалистами зловред относится к семейству SMS-троянов, имитирующих работу оригинальных продуктов и осуществляющих незаметную рассылку сообщений на дорогостоящие короткие номера. По мнению аналитиков, за вредоносным приложением, получившим кодовое обозначение Andr/Boxer-F, стоят российские киберпреступники, о почерке которых свидетельствует характер распространения подделки и ряд других факторов.

Чтобы не попасться на удочку злоумышленников, представители Sophos рекомендуют владельцам мобильных устройств устанавливать приложения только из официального магазина Google Play, быть предельно внимательными при установке программ и советуют вчитываться в демонстрируемые инсталляторами продуктов уведомления.

Напомним, Instagram позволяет делать фотографии при помощи встроенной в портативное устройство камеры, применять к изображениям всевозможные графические фильтры и размещать получившиеся шедевры в глобальной сети. Помимо Android программа представлена в версии для Apple iOS. 9 апреля 2012 года Instagram был приобретен компанией Facebook за $1 млрд.

Материалы по теме:

• Facebook приобретает Instagram за $1 млрд;
• Число пользователей Instagram возросло на треть за 10 дней и превысило 40 млн;
• Руководство Twitter пыталось купить Instagram задолго до Facebook.

Источник:

• nakedsecurity.sophos.com

Новая модификация троянца Android.Gongfu скрывается в дистрибутиве Angry Birds Space

10.04.2012 [18:32], Сергей и Марина Бондаренко

Компания "Доктор Веб" сообщила о распространении новой модификации Android.Gongfu. Злоумышленники встраивают этот троянец в различные программы и игры, распространяющиеся через неофициальные сайты-сборники программного обеспечения. Новый Android.Gongfu способен не только передавать злоумышленникам информацию об инфицированном устройстве и выполнять поступающие от удаленного сервера команды, но также загружать и устанавливать другие приложения без ведома пользователя. В частности, этот троянец был выявлен в модифицированном злоумышленниками дистрибутиве популярной игры Angry Birds Space.

Вредоносные программы семейства Android.Gongfu отличаются способностью установить на зараженном мобильном устройстве другое приложение, которое добавляется в инфицированную систему в качестве фонового сервиса. Установленный троянцем сервис запускается автоматически без участия пользователя и собирает данные об устройстве, включая версию операционной системы, модель телефона, наименование мобильного оператора, номер IMEI и телефонный номер пользователя. Впоследствии вся эта информация передается злоумышленникам. Помимо этого, Android.Gongfu может выступать в роли бэкдора, способного выполнять получаемые от злоумышленников команды.

В отличие от первых реализаций Android.Gongfu, новые модификации троянца не используют уязвимость Android, позволявшую им без участия пользователя повысить собственные привилегии в системе до уровня root. Вместо этого в комплекте с инфицированным приложением пользователю предлагается специальная пошаговая инструкция, позволяющая запустить ОС с полномочиями администратора. В инструкции утверждается, что это, якобы, необходимо для корректной работы программы или ее обновления. После запуска с администраторскими привилегиями Android.Gongfu получает возможность встраиваться в системные процессы Android, включая процессы, критичные для стабильной работы ОС. Троянец способен не только передавать злоумышленникам информацию об инфицированном устройстве и выполнять поступающие от удаленного узла команды, но также загружать и устанавливать в ОС другие приложения без ведома пользователя.

Материалы по теме:

• Защитная экипировка: обзор антивирусных решений для Android;
• На всякий пожарный: загрузочные диски скорой антивирусной помощи.

Источник:

• news.drweb.com

Обновлена утилита для расшифровки файлов, зараженных Trojan.Encoder.102

30.03.2012 [17:34], Сергей и Марина Бондаренко

Компания "Доктор Веб" обновила утилиту te102decrypt.exe, которая позволяет расшифровывать файлы, пострадавшие от действия вредоносной программы Trojan.Encoder.102.

Семейство Trojan.Encoder включает в себя вредоносное ПО, так или иначе шифрующее данные пользователя. За расшифровку файлов злоумышленники требуют у жертвы внести на их счет определенную плату. Специалисты компании «Доктор Веб» разработали специальную утилиту, помогающую пострадавшим от действий троянца пользователям вернуть зашифрованные файлы в исходное состояние, однако в силу того, что злоумышленники нередко использовали «длинные» ключи, расшифровка не всегда была успешной.

В новой версии утилиты te102decrypt.exe добавлена поддержка 590-битного ключа RSA, что позволит расшифровывать значительно больший процент файлов, над которыми «поработали» некоторые модификации троянца Trojan.Encoder.102.

Пользователям, пострадавшим от действия данной вредоносной программы, советуют обращаться в службу технической поддержки «Доктор Веб» или к сотрудникам антивирусной лаборатории, прикрепив к тикету образцы зашифрованных троянцем файлов.

Материалы по теме:

• Новый Trojan.Winlock блокирует систему, меняя пароль пользователя;
• Троянец для Mac OS X прячется за фотографией российской фотомодели.

Источник:

• news.drweb.com

McAfee AVERT Stinger 10.2.0.547: поиск вирусов

22.03.2012 [00:17], Сергей и Марина Бондаренко

Обновилась бесплатная антивирусная утилита, с помощью которой можно отлавливать самые «популярные» в сети вирусы. Программа имеет простенький интерфейс, а процесс сканирования файлов на диске не нагружает систему. McAfee AVERT Stinger отличается небольшим размером и не требует инсталляции, благодаря чему ее можно запускать с USB-накопителя.

Разработчик: Networks Associates
Распространяется: беcплатно
Операционная система: Windows All
Размер 8,68 Мбайт
Скачать можно отсюда.

Материалы по теме:

• Anti-Trojan Elite 5.62: защита от троянов;
• Евгений Касперский: Паранойя — это хорошо.

Источник:

• Networks Associates

Anti-Trojan Elite 5.62: защита от троянов

20.03.2012 [12:21], Сергей и Марина Бондаренко

Обновлена база данных программы Anti-Trojan Elite. Это – утилита, предназначенная для очистки компьютера от таких вредоносных файлов, как трояны, кейлогеры и пр. Anti Trojan Elite сканирует не только жесткий диск (включая архивы ZIP и CAB), но и смотрит на то, какие процессы запущены.

Также она располагает менеджером сетевых процессов, при помощи которого можно определить, где запущен нежелательный процесс. Кроме этого, вы можете просмотреть ключи и значения реестра и удалить подозрительные, починить Internet Explorer, оптимизировать работу Windows вообще. Программа имеет опцию отката.

Разработчик: Security Defence
Распространяется: shareware, 39,95 долл.
Операционная система: Windows All
Размер 6,07 Мбайт
Скачать можно отсюда.

Материалы по теме:

• Google закрыла почти два десятка уязвимостей в Chrome 17;
• Adguard 5.2 — эффективное удаление рекламы с сайтов и антифишинговая защита.

Источник:

• remove-trojan.com

Новый Trojan.Winlock блокирует систему, меняя пароль пользователя

15.03.2012 [10:18], Сергей и Марина Бондаренко

Компания "Доктор Веб" сообщила о появлении нового троянца-блокировщика, добавленного в вирусные базы под именем Trojan.Winlock.5729. Особенность этой программы-вымогателя заключается в том, что она блокирует операционную систему, используя штатные средства Windows, путем изменения пароля локальных пользователей.

Троянец скрывается в установочном дистрибутиве популярной программы Artmoney, предназначенной для «накрутки» различных ресурсов в компьютерных играх. Помимо реального установщика Artmoney, инсталлятор содержит три файла: измененный файл logonui.exe с именем iogonui.exe (этот файл отвечает за демонстрацию графического интерфейса при входе пользователя в Windows XP) и два самораспаковывающихся архива, содержащих bat-файлы. При загрузке инфицированного инсталлятора запускается первый из них, password_on.bat. Данный файл содержит набор команд, выполняющих проверку операционной системы: если на жестком диске присутствует папка c:\users\, что является характерным признаком операционной системы Windows Vista и Windows 7, вредоносные компоненты удаляются, если же такая папка отсутствует, троянец считает, что он запущен в Windows XP. В этом случае Trojan.Winlock.5729 модифицирует системный реестр, подменяя при загрузке Windows стандартный logonui.exe собственным файлом iogonui.exe, и меняет пароль учетной записи Windows для текущего пользователя и локальных пользователей с именами «admin», «administrator», «админ», «администратор». Если текущий пользователь работает в ограниченной учетной записи, работа троянца прекращается. Еще один bat-файл — password_off.bat — удаляет все пароли и возвращает в системном реестре оригинальное значение UIHost.

Файл iogonui.exe представляет собой настоящий аутентичный файл logonui.exe из комплекта поставки Windows XP, в котором с помощью редактора ресурсов была изменена стандартная строка приветствия Windows на требование отправить платное СМС-сообщение.

Таким образом, выполнив выход из системы или перезагрузку, пользователь уже не сможет осуществить вход, поскольку пароли всех учетных записей пользователей были изменены.

Если вы стали жертвой этого троянца, для входа в систему используйте пароль «Спасибо!» (без кавычек), после чего Trojan.Winlock.5729 автоматически сбросит пароли учетных записей. Если этого не произошло, можно вручную изменить значение параметра UIHost в ветви реестра HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon на logonui.exe.

Материалы по теме:

• Новый троян из Ирана модифицирует фотографии на Android-устройствах;
• Троянец для Mac OS X прячется за фотографией российской фотомодели.

Источник:

• news.drweb.com