Компания «Doctor Web» добавила в свои антивирусные базы новый троян-винлок под названием Trojan.Winlock.5729. Главной особенностью этого вируса является способность подмены пароля пользователя с использованием средств самой операционной системы.
Автора трояна подошли к его создания весьма оригинально. В отличие от своих аналогов блокировщиков, как правило, использовавших специальный код, который подменял оболочку Windows, либо стандартный userinit.exe и выводивших на монитор соответствующий текст. При этом трояны в большинстве случаев блокировали запуск стандартных утилит Windows (диспетчера задач, редактирование реестра, командной строки и других).
Вирус Trojan.Winlock.5729 распространяется вместе с измененным автором вируса дистрибутивом популярной в геймерской среде программы ArtMoney, использующейся для увеличения количества ресурсов в компьютерных игрушках. Кроме «инсталяшки» ArtMoney дистрибутив содержит ещё файл iogonui.exe, отвечающий за графический интерфейс при входе в систему в Windows XP, а также пару самораспаковывающихся архивов с bat-файлами.
После того как содержащий троян дистрибутив попадает на компьютер, происходит автоматический запуск файла password_on.bat, в котором содержится набор команд для проверки установленной операционной системы. Стоит отметить, что троян «работает» только с установленной Windows XP, поэтому как только во время проверки системы троян обнаруживает на диске С папку Users, присутствующую только в седьмой версии Windows и Windows Vista, вредоносный код самостоятельно удаляется. Если же такой папки троян не обнаруживает, он изменяет реестр Windows и подменяет файл logonui.exe. После чего, он меняет пароли текущей учетной записи, а также пароли пользователей «администратор», «administrator», «админ», «admin». Опять же, если права пользователя ограничены троян прекращает свою работу. Второй входящий в самораспаковывающегося архива батник password_off.bat возвращает для UIHost стандартное значение в системном реестре и удаляет все пароли.
Входящий в измененный дистрибутив ArtMoney файл iogonui.exe не что иное, как стандартный файл Windows XP, отредактированный специальной программой-редактором в результате чего строка приветствия заменена на сообщение с требованием отправки SMS-сообщения, естественно на платный номер. Таким образом, пользователь, выйдя из системы, либо перезагрузив компьютер, войти в систему уже не сможет.
Если ваш компьютер уже «заразился» этим трояном, то попробуйте при входе ввести пароль «Спасибо!» (естественно без кавычек). После этого, вирус должен сбросить все пароли пользователей. Если этого не случилось необходимо в реестре перейти в раздел HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon и там поменять значение UIHost на logonui.exe.
