Pour les utilisateurs

Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Recherche
Recherche

Contacter-nous !
Support 24/24 | Rules regarding submitting

Envoyer un message

Requête à l'aide du formulaire

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -
Créer une nouvelle requête

Nous téléphoner

0 825 300 230

Profil

FR

RU CN DE EN ES FR IT JP KZ UZ PL BY
Fermer
News

News par thème

News sur les virus
" Lumières sur la sécurité "
Widgets
Centre de presse

Revenir vers la liste d'actualités

Le Trojan.Winlock.5490 menace les utilisateurs français

Le 27 janvier 2012

Doctor Web annonce une nouvelle modification du winlock Trojan.Winlock.5490. Ce trojan représente une menace surtout pour les utilisateurs français de Microsoft Windows.

Le Trojan.Winlock.5490, écrit en C, se lance uniquement sur les PC localisés en français. Pendant son lancement, le trojan vérifie s'il n'est pas lancé sur les machines virtuelles : VirtualBox, QEmu, VMWare etc, si oui, il arrête son fonctionnement. Comme vous le savez déjà, la plupart des winlock fonctionne de façon autonome : soit ils contiennent le code de déblocage dans leurs propres ressources (sous une forme codée ou pas), soit ils sont capables de la générer en fonction d’une série de paramètres, soit le code n’existe pas. Le Trojan.Winlock.5490 représente la dernière catégorie : le trojan se supprime automatiquement au bout d’une semaine, mais en bloquant l'OS, il communique à un serveur pirate distant certaines données de l’utilisateur comme des numéros de cartes de crédit. Il reçoit même un accusé de réception: « OK », de la part du serveur.

screen

Le Trojan.Winlock.5490 lance le processus svchost.exe et introduit son code dans ce processus, puis il masque le Panneau de configuration Windows et arrête tous les processus explorer.exe et taskmgr.exe. Ensuite, il s’inscrit dans la clé autorun du registre et affiche un message demandant de payer 100 euros avec une carte de paiement Paysafecard ou Ukash. Les données de la carte de crédit sont envoyées sur le serveur et l’utilisateur reçoit un message : Veuillez attendre, votre paiement sera traité dans les 24 heures.

Comme ce trojan ne possède pas de code de déblocage, nous conseillons aux utilisateurs d’analyser leur PC en le lançant avec Dr.Web LiveCD. Les utilisateurs peuvent également modifier la date du PC dans le BIOS (mettre une date ultérieure à la vraie date) et analyser les disques avec Dr.Web CureIt!, soit supprimer à la main les données du trojan depuis la clé du registre Software\Microsoft\Windows\CurrentVersion\Run\ .

Pour tenter de débloquer le PC, Doctor Web met à la disposition des utilisateurs des procédures avec Dr.Web LiveCD, Dr.Web LiveUSB et Dr.Web CureIt!. Si aucun moyen ne fonctionne, vous pouvez vous adresser à notre Support technique.

Votre avis nous intéresse

Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments