Le 12 juillet 2011

Doctor Web annonce l'apparition d'un nouveau trojan de la famille des Winlock (bloquant le bureau du PC) diffusé en dehors de Russie et exigeant des données bancaires.

Les premières infections par des Trojan.Winlock ont été détectées fin 2007, l'épidémie a eu lieu de novembre 2009 à février 2010. La nouvelle modification du Trojan.Winlock.3794 rappelle ses premières versions.

Cette version est masquée sous le mécanisme d'activation de Windows XP (Microsoft Product Activation, MPA). La fenêtre du programme bloquant le bureau notifie que cette copie de Microsoft Windows a déjà été activée par un autre utilisateur et propose de relancer l'activation plus tard. Dans le cas où l'utilisateur choisi « No, I will do it later » («Non, je le ferai plus tard »), l'OS affiche un écran bleu. Et si l'utilisateur décide de réactiver le système, il doit introduire ses données bancaires y compris son Nom, le numéro de la carte, le N° CVV2 (trois derniers chiffres au dos de la carte) et même le code . Les conséquences sont claires.

Du point de vue de sa structure, le Trojan.Winlock.3794 est assez primitif, comme tous les autres trojans de ce groupe. Pénétrant dans le système, il enregistre un lien vers lui-même dans la branche de la base de registre relative à l’autodémarrage des applications. Ainsi, le fonctionnement normal de Windows est perturbé y compris en mode sécurisé. De plus, le trojan bloque le lancement de toutes les applications de l'OS y compris le Gestionnaire de tâches, la restauration du système etc, pour empêcher l'utilisateur de faire quoi que ce soit.

C'est le premier cas de trojan winlock extorquant les données bancaires. Dans les versions précédentes, les trojans demandaient d'envoyer un sms payant ou d'acheter des crédits d'appels auprès d’un opérateur russe. Le Trojan.Winlock.3794 permet de faire chanter des utilisateurs partout dans le monde.

L’antivirus Dr.Web lutte parfaitement contre le Trojan.Winlock, y compris contre sa dernière modification. Voici quelques règles vous permettant d'éviter l'infection :

• Utilisez un antivirus à jour et faites régulièrement un scan du système.
• Mettez à jour régulièrement votre antivirus.
• Installez régulièrement les mises à jour de sécurité recommandées par l'éditeur de votre OS.
• Ne lancez pas les applications suspectes et les archives téléchargées sur Internet ou reçues depuis des sources peu fiables.
• Si vous êtes victime du trojan, utilisez l'utilitaire de restauration Dr.Web LiveCD ou l'utilitaire de désinfection Dr.Web CureIt!