Le 13 mars 2011

Doctor Web annonce l'apparition du nouveau trojan, Trojan.Winlock.5729. Ce programme malveillant est différent des autres car il bloque l’OS en modifiant les mots de passe des utilisateurs.

Les winlocks détectés jusqu’à maintenant utilisent une application spéciale remplaçant le shell Windows ou le fichier userinit.exe pour accéder à l'ordinateur. Dans le même temps, le malware bloque le lancement des utilitaires comme le Gestionnaire des tâches, la Ligne de commande, l’éditeur du registre etc. Les auteurs du Trojan.Winlock.5729 ont choisi un tout autre chemin.

Le trojan se dissimule dans le fichier d’installation du programme Artmoney, utilisé dans les jeux vidéo. A part l’installateur réel de l’Artmoney, le package d’installation contient 3 fichiers : le fichier logonui.exe modifié et portant le nom iogonui.exe (ce fichier gère l’affichage de l'interface graphique quand l'utilisateur veut accéder à son compte utilisateur Windows XP) et deux archives auto extractibles contenant des fichiers .bat. Lors de l’exécution de l’installateur contaminé, le premier fichier .bat démarre - _on.bat. Ce fichier contient un ensemble de programmes réalisant une analyse de l’OS, s’il trouve sur le disque dur le dossier c:\users\ (critère caractéristique de Windows Vista et Windows 7), les composants malveillants seront supprimés. Si ce dossier n’est pas présent, le trojan considère qu’il se trouve sous Windows XP. Dans ce cas, le Trojan.Winlock.5729 modifie la base du registre, en remplaçant pendant le démarrage de Windows le fichier logonui.exe par iogonui.exe, et change le mot de passe pour le compte utilisateur courant et les comptes utilisateurs locaux portant le nom de «admin», «administrator ». Si l'utilisateur en cours n'est pas en mode administrateur, le trojan cesse de fonctionner. L’autre fichier .bat - password_off.bat- supprime tous les mots de passe et remet UIHost à sa valeur initiale dans la base du registre.

Le fichier iogonui.exe est un fichier authentique dont la version modifiée inclut une phrase demandant d’envoyer un SMS payant.

Ainsi, si l'utilisateur ferme la session ou redémarre le PC, il ne pourra plus se logger car tous les mots de passe seront modifiés.

La signature de cette menace a été ajoutée aux bases Dr.Web. Si vous êtes victime de ce trojan, pour vous logger dans l’OS, utilisez le mot de passe «Спасибо!» (sans guillemets), dans ce cas, le Trojan.Winlock.5729 remet à zéro tous les mots de passe de manière automatique. Si les mots de passe ne sont pas réinitialisés automatiquement, vous pouvez modifier à la main la valeur UIHost dans la branche du registre HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon pour logonui.exe.