Перейти к содержанию
AM_Bot

Новый винлок блокирует систему, меняя пароль пользователя

Recommended Posts

AM_Bot

13 марта 2011 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — сообщает о появлении нового троянца-блокировщика, добавленного в вирусные базы под именем Trojan.Winlock.5729. Особенность этой программы-вымогателя заключается в том, что она блокирует операционную систему, используя штатные средства Windows, путем изменения пароля локальных пользователей.

Традиционно программы-вымогатели используют для блокировки входа в операционную систему специальное приложение, заменяющее собой стандартную оболочку (shell) Windows или файл userinit.exe и демонстрирующее на экране компьютера соответствующий текст. Одновременно вредоносная программа обычно отслеживает и предотвращает запуск различных вспомогательных утилит, таких как Диспетчер задач, Командная строка, Редактор реестра и т. д. Совершенно по иному, гораздо более простому, но весьма оригинальному пути пошли авторы Trojan.Winlock.5729.

Троянец скрывается в установочном дистрибутиве популярной программы Artmoney, предназначенной для «накрутки» различных ресурсов в компьютерных играх. Помимо реального установщика Artmoney, инсталлятор содержит три файла: измененный файл logonui.exe с именем iogonui.exe (этот файл отвечает за демонстрацию графического интерфейса при входе пользователя в Windows XP) и два самораспаковывающихся архива, содержащих bat-файлы. При загрузке инфицированного инсталлятора запускается первый из них, password_on.bat. Данный файл содержит набор команд, выполняющих проверку операционной системы: если на жестком диске присутствует папка c:users, что является характерным признаком операционной системы Windows Vista и Windows 7, вредоносные компоненты удаляются, если же такая папка отсутствует, троянец считает, что он запущен в Windows XP. В этом случае Trojan.Winlock.5729 модифицирует системный реестр, подменяя при загрузке Windows стандартный logonui.exe собственным файлом iogonui.exe, и меняет пароль учетной записи Windows для текущего пользователя и локальных пользователей с именами «admin», «administrator», «админ», «администратор». Если текущий пользователь работает в ограниченной учетной записи, работа троянца прекращается. Еще один bat-файл — password_off.bat — удаляет все пароли и возвращает в системном реестре оригинальное значение UIHost.

Файл iogonui.exe представляет собой настоящий аутентичный файл logonui.exe из комплекта поставки Windows XP, в котором с помощью редактора ресурсов была изменена стандартная строка приветствия Windows на требование отправить платное СМС-сообщение.

cmp.1.png

Таким образом, выполнив выход из системы или перезагрузку, пользователь уже не сможет осуществить вход, поскольку пароли всех учетных записей пользователей были изменены.

Winlock.5729.1.png

Сигнатура данной угрозы добавлена в вирусные базы Dr.Web. Если вы стали жертвой этого троянца, для входа в систему используйте пароль «Спасибо!» (без кавычек), после чего Trojan.Winlock.5729 автоматически сбросит пароли учетных записей. Если этого не произошло, можно вручную изменить значение параметра UIHost в ветви реестра HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon на logonui.exe.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA

Какой подарок школьнику :lol: За творческую фантазию, твердая пятерка :D

________.jpg

post-6726-1331625577_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
newlaid
Троянец скрывается в установочном дистрибутиве популярной программы Artmoney, предназначенной для «накрутки» различных ресурсов в компьютерных играх.

https://www.virustotal.com/file/f64e54c6d5b...sis/1331628645/

http://camas.comodo.com/cgi-bin/submit?fil...f0484fb1ae59dae

http://anubis.iseclab.org/?action=result&a...amp;format=html

tc40guqb8f6ycr2crcr55.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
она блокирует операционную систему, используя штатные средства Windows, путем изменения пароля локальных пользователей

Ох если так пойдет, то Элкомсофт обогатится на своем софте по восстановлению/сбросу паролей Windows :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ALEX(XX)
Ох если так пойдет, то Элкомсофт обогатится на своем софте по восстановлению/сбросу паролей Windows :)

:) А что, ERD не подойдёт? Да и бесплатен, вроде как.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
А что, ERD не подойдёт? Да и бесплатен, вроде как.

Там разве можно пароль восстановить? Если есть инструкция где-то, интересно взглянуть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Там разве можно пароль восстановить?

Можно сбросить пароли с помощью Locksmith Wizard. http://netler.ru/pc/fault-pwd.htm

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Там разве можно пароль восстановить? Если есть инструкция где-то, интересно взглянуть.

Можно конечно ... почти все Boot диски типа ERD позволяют это делать, только они дают возможность не восстановить пароль, а сбросить его или поменять на заданный...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
только они дают возможность не восстановить пароль, а сбросить его или поменять на заданный...

Вот в этом как раз большая разница. Если у вас используется шифрование диска, привязанное к учетке windows (например, EFS или BitLocker), то сброс пароля просто загубит ваши данные. Придется потом расшифровывать их отдельно.

А вот эта штука умеет именно восстанавливать пароли http://www.elcomsoft.ru/esr.html, а не только сбрасывать их.

Выдержка из докуметации Elcomsoft:

Проблема в том, что сами файлы на диске, защищенные EFS, шифруются с помощью

ключа FEK (File Encryption Key), который хранится в атрибутах файла. FEK зашифрован

master-ключом, а мастер-ключ в свою очередь – ключами пользователей (имеющих доступ

к файлу). Ключи пользователей, соответственно, зашифрованы хэшами паролей этих са-

мых пользователей. Поэтому в случае сброса пароля пользователя в домене доступ к за-

шифрованным EFS данным будет утрачен.

Поэтому можно жестоко наколоться со сбросом пароля.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr

Кажется в EFS специально рекомендуют делать рековери дискетку, да и мало кто пользуется им. Если кто и хочет что то шифровать, то к.п. труЪкрипт и другие криптоконтейнеры.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

OlegAndr

Дык криптоконтейнеры - это другая сущность.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      Добавить в меню команды: Блокировать запуск файла по: [MinimumStackCommitInBytes] Снять блокировку [MinimumStackCommitInBytes] установленную uVS - [1077777777] Полностью снять блокировку [MinimumStackCommitInBytes] -  [?ХХХХХХХХ?] ---------- Пример: Блокировать запуск файла по: [MinimumStackCommitInBytes] IFEO\mediaget.exe: [MinimumStackCommitInBytes] 1077777777 IFEO\PowwerTool.exe: [MinimumStackCommitInBytes] 1077777777 -------- Команда: Проверить реестр и доступные копии реестра ( с возможностью указать копию ) на IFEO -  [MinimumStackCommitInBytes] Команда: Проверить реестр и доступные копии реестра ( а тут можно подумать, на что ещё можно проверить копию )
    • PR55.RP55
      В том году была статья : по поводу MinimumStackCommitInBytes https://www.trendmicro.com/en_in/research/23/e/attack-on-security-titans-earth-longzhi-returns-with-new-tricks.html Похоже и у нас начали активно это применять. https://forum.kasperskyclub.ru/topic/465310-slovil-majner-kogda-skachival-obhod-blokirovki-diskorda/ https://www.cyberforum.ru/viruses/thread3189071.html?ysclid=m4x30zzs6v421256067  
    • demkd
      И не должен работать, такое удалять разрешено только вручную.
    • PR55.RP55
      Ошибка получения XML описания задачи: \Microsoft\Windows\SoftwareProtectionPlatform\SvcRestartTask  [Error: 0x80041321 - Образ задачи поврежден или изменен. ] Соответственно на такие случаи команда: (Alt+Delete) не работает. https://vms.drweb.ru/virus/?i=27169926
    • PR55.RP55
      Предлагаю добавить в settings.ini - настройку: Передавать статистику удаляемых файлов. Для чего ? Когда статистика будет накоплена ( и проанализирована ) то можно будет применить команду: 1) Обнаружить угрозы - исходя из данных статистики 2) Создать автоскипт на базе общей операционной статистки 3) Создать автоскипт на базе моей статистики. Файл\ы данных доступны - как при обращении к серверу - так и локально. ----- % 70 скрипта - Это всё одно и тоже... Так чего мучить Оператора, если минимум % 70 скрипта можно генерировать автоматически,  а стальное он сам допишет. А то автоскрипт есть - а пользуется этим три человека. ------- Кроме того - та же история и с FRST - можно создать автоматический _помощник который будет например в Notepad++ помечать ( на базе статистики ) закладкой все типичные удаляемые объекты. Ведь не единым uVS жив человек ?  
×