Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Retour aux actualités

Le Trojan.Winlock.5490 menace les utilisateurs français

Le 27 janvier 2012

Doctor Web annonce une nouvelle modification du winlock Trojan.Winlock.5490. Ce trojan représente une menace surtout pour les utilisateurs français de Microsoft Windows.

Le Trojan.Winlock.5490, écrit en C, se lance uniquement sur les PC localisés en français. Pendant son lancement, le trojan vérifie s'il n'est pas lancé sur les machines virtuelles : VirtualBox, QEmu, VMWare etc, si oui, il arrête son fonctionnement. Comme vous le savez déjà, la plupart des winlock fonctionne de façon autonome : soit ils contiennent le code de déblocage dans leurs propres ressources (sous une forme codée ou pas), soit ils sont capables de la générer en fonction d’une série de paramètres, soit le code n’existe pas. Le Trojan.Winlock.5490 représente la dernière catégorie : le trojan se supprime automatiquement au bout d’une semaine, mais en bloquant l'OS, il communique à un serveur pirate distant certaines données de l’utilisateur comme des numéros de cartes de crédit. Il reçoit même un accusé de réception: « OK », de la part du serveur.

screen

Le Trojan.Winlock.5490 lance le processus svchost.exe et introduit son code dans ce processus, puis il masque le Panneau de configuration Windows et arrête tous les processus explorer.exe et taskmgr.exe. Ensuite, il s’inscrit dans la clé autorun du registre et affiche un message demandant de payer 100 euros avec une carte de paiement Paysafecard ou Ukash. Les données de la carte de crédit sont envoyées sur le serveur et l’utilisateur reçoit un message : Veuillez attendre, votre paiement sera traité dans les 24 heures.

Comme ce trojan ne possède pas de code de déblocage, nous conseillons aux utilisateurs d’analyser leur PC en le lançant avec Dr.Web LiveCD. Les utilisateurs peuvent également modifier la date du PC dans le BIOS (mettre une date ultérieure à la vraie date) et analyser les disques avec Dr.Web CureIt!, soit supprimer à la main les données du trojan depuis la clé du registre Software\Microsoft\Windows\CurrentVersion\Run\ .

Pour tenter de débloquer le PC, Doctor Web met à la disposition des utilisateurs des procédures avec Dr.Web LiveCD, Dr.Web LiveUSB et Dr.Web CureIt!. Si aucun moyen ne fonctionne, vous pouvez vous adresser à notre Support technique.

Votre avis nous intéresse

Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web
Expérience dans le développement depuis 1992
Les internautes dans plus de 200 pays utilisent Dr.Web
L'antivirus est fourni en tant que service depuis 2007
Support 24/24

Dr.Web © Doctor Web
2003 — 2021

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg