Le 16 novembre 2012

Les spécialistes de Doctor Web informent de la propagation d’un programme malveillant faisant partie de la fameuse famille du Trojan.Winlock – Trojan.Winlock.7372. Celui-ci ne contient pas de textes ou d’images dans son corps, car il est capable de les télécharger. Ce trojan menace surtout le monde anglophone.

Les premiers trojans de cette famille se sont propagés en automne 2011. Ce trojan se propage via BackDoor.Umbra. Trojan.Winlock.7372 ne ressemble pas aux autres trojans du genre, car il ne contient ni textes ni images, tous les composants sont téléchargés depuis un serveur distant, et l’image qui empêche le fonctionnement du PC est une page web s’affichant sur tout l’écran.

Une fois lancé sur le PC infecté, Trojan.Winlock.7372 modifie la branche du registre relative à l’auto démarrage des applications, puis recherche les processus de toute une série d’applications : Gestionnaire des tâches, notepad, rédacteur du registre, ligne de commandes, navigateurs Microsoft Internet Explorer, Google Chrome, Firefox, Opera, applications ProcessHacker, Process Monitor etc. Ensuite le trojan utilise une méthode très rare : il stoppe le pare-feu du PC. Enfin, Trojan.Winlock.7372 crée une fenêtre invisible sur tout l’écran et y télécharge la page web des malfaiteurs avec un message demandant de payer pour le déblocage.

Les malfaiteurs demandent 200 dollars pour le déblocage, le code de confirmation pour le paiement devant être envoyé depuis la page affichée. Si on essaie d’accéder au serveur des malfaiteurs, on nous demande d’entrer le nom d'utilisateur et le mot de passe, cette page permet aux pirates de surveiller la propagation du Trojan.Winlock.7372 et de modifier ses configurations.

La signature de cette menace a été ajoutée aux bases virales et elle ne représente plus de danger pour les utilisateurs du logiciel Dr.Web.