Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Retour aux actualités

Un nouveau winlock bloque l'OS en modifiant le mot de passe

Le 13 mars 2011

Doctor Web annonce l'apparition du nouveau trojan, Trojan.Winlock.5729. Ce programme malveillant est différent des autres car il bloque l’OS en modifiant les mots de passe des utilisateurs.

Les winlocks détectés jusqu’à maintenant utilisent une application spéciale remplaçant le shell Windows ou le fichier userinit.exe pour accéder à l'ordinateur. Dans le même temps, le malware bloque le lancement des utilitaires comme le Gestionnaire des tâches, la Ligne de commande, l’éditeur du registre etc. Les auteurs du Trojan.Winlock.5729 ont choisi un tout autre chemin.

Le trojan se dissimule dans le fichier d’installation du programme Artmoney, utilisé dans les jeux vidéo. A part l’installateur réel de l’Artmoney, le package d’installation contient 3 fichiers : le fichier logonui.exe modifié et portant le nom iogonui.exe (ce fichier gère l’affichage de l'interface graphique quand l'utilisateur veut accéder à son compte utilisateur Windows XP) et deux archives auto extractibles contenant des fichiers .bat. Lors de l’exécution de l’installateur contaminé, le premier fichier .bat démarre - _on.bat. Ce fichier contient un ensemble de programmes réalisant une analyse de l’OS, s’il trouve sur le disque dur le dossier c:\users\ (critère caractéristique de Windows Vista et Windows 7), les composants malveillants seront supprimés. Si ce dossier n’est pas présent, le trojan considère qu’il se trouve sous Windows XP. Dans ce cas, le Trojan.Winlock.5729 modifie la base du registre, en remplaçant pendant le démarrage de Windows le fichier logonui.exe par iogonui.exe, et change le mot de passe pour le compte utilisateur courant et les comptes utilisateurs locaux portant le nom de «admin», «administrator ». Si l'utilisateur en cours n'est pas en mode administrateur, le trojan cesse de fonctionner. L’autre fichier .bat - password_off.bat- supprime tous les mots de passe et remet UIHost à sa valeur initiale dans la base du registre.

Le fichier iogonui.exe est un fichier authentique dont la version modifiée inclut une phrase demandant d’envoyer un SMS payant.

screen

Ainsi, si l'utilisateur ferme la session ou redémarre le PC, il ne pourra plus se logger car tous les mots de passe seront modifiés.

screen

La signature de cette menace a été ajoutée aux bases Dr.Web. Si vous êtes victime de ce trojan, pour vous logger dans l’OS, utilisez le mot de passe «Спасибо!» (sans guillemets), dans ce cas, le Trojan.Winlock.5729 remet à zéro tous les mots de passe de manière automatique. Si les mots de passe ne sont pas réinitialisés automatiquement, vous pouvez modifier à la main la valeur UIHost dans la branche du registre HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon pour logonui.exe.

Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web
Expérience dans le développement depuis 1992
Les internautes dans plus de 200 pays utilisent Dr.Web
L'antivirus est fourni en tant que service depuis 2007
Support 24/24

Dr.Web © Doctor Web
2003 — 2020

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg