В Интернете появился новый вирус, который блокирует ОС

Компания "Доктор Веб" предупредила о появлении в Интернете нового трояна под названием Trojan.Winlock.5729. Особенность этой программы-вымогателя в том, что она полностью блокирует ОС, используя штатные средства Windows, путем изменения пароля локальных пользователей, сообщает ТСН.

Новый троян Trojan.Winlock.5729 скрывается в установочном дистрибутиве популярной программы Artmoney, предназначенной для "накрутки" различных ресурсов в компьютерных играх.

Кроме реального установщика Artmoney, инсталлятор содержит три файла: измененный файл logonui.exe с именем iogonui.exe (этот файл отвечает за демонстрацию графического интерфейса при входе пользователя в Windows XP) и два архива, содержащих bat-файлы.

При загрузке зараженного инсталлятора запускается первый, password_on.bat.

Данный файл содержит набор команд, выполняющих проверку операционной системы: если на жестком диске присутствует папка c: users, что является характерным признаком операционной системы Windows Vista и Windows 7, вредные компоненты удаляются , если же такая папка отсутствует, троян считает, что он запущен в Windows XP.

В этом случае Trojan.Winlock.5729 модифицирует системный реестр, подменяя при загрузке Windows стандартный logonui.exe собственным файлом iogonui.exe, и меняет пароль пользователя Windows для текущего пользователя и локальных пользователей с именами "admin", "administrator", "админ", "администратор".

Если текущий пользователь работает в ограниченном аккаунте, работа трояна прекращается. Еще один bat-файл - password_off.bat - удаляет все пароли и возвращает в системном реестре оригинальное значение UIHost.