Trojan.Winlock

Ogniska Trojan.Winlock, z których zaatakował rosyjskich użytkowników pod koniec 2009 roku, na początku 2010 roku i później w lecie tego samego roku już dawno wygasły, ale teraz tego rodzaju złośliwe oprogramowanie maja tendencję do rozprzestrzeniania się poza granicami Rosji. Doctor Web, rosyjski producent wiodący w bezpieczeństwie IT ostrzega użytkownika o nowej modyfikacji tego konia trojańskiego o nazwie Trojan.Winlock.3846 na komputerach docelowych na całym świecie. To nie jest jeszcze wybuch, ale jest to drugie tego typu zagrożenie wykryte przez analityków z firmy Doctor Web w tym miesiącu.
W Rosji miliony użytkowników padło ofiarą szkodliwego oprogramowania Trojan.Winlock. Do tej pory przypadki zakażeń zaczęły spadać. W szczególności, anty-bloker projektu www.drweb.com / unlocker, jak również współpraca między Doctor Web i wiodący rosyjscy operatorzy telefonii komórkowej odegrali kluczową rolą w zapobieganiu infekcji i neutralizacji. Tymczasem, koń trojański blokujący staje się problemem i pilną sprawą dla ludzi w innych krajach.
W przeciwieństwie do Trojan.Winlock.3794, nowe zmiany w Trojan.Winlock.3846 dają możliwość wejścia do gałęzi rejestru systemu Windows HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ userinit, odpowiedzialnego za uruchamianie aplikacji przez winlogon proces logowania użytkownika do systemu. To blokuje dostęp do systemu operacyjnego po pierwszym ponownym uruchomieniu systemu.

Zamiast standardowego interfejsu Windows użytkownikowi wyświetlany jest komunikat o awarii systemu w procesie 0x3BC3. Aby rozwiązać problem użytkownikowi oferowany jest numer z listy oraz należy podać swój kod aktywacyjny w odpowiednie pola. Wywołanie każdej z liczb kosztuje określoną kwotę pieniędzy.
Ta zmiana blokowania okna ma jedną cechę obejmuje blokowanie wiadomości w kilku językach dla różnych miejsc Windows. Wiadomość jest dostępna przynajmniej w języku angielskim, francuskim i rosyjskim.
Aby usunąć ekran blokowania, należy użyć następującego kodu odblokowania: 754-896-324-589-742
Tak jak poprzednio, Doctor Web zaleca użytkownikom do powstrzymania się od uruchamiania aplikacji ze stron którym nie ufamy i otwieraniu załączników e-mail otrzymywanych od nieznanych nadawców. Należy być bardzo ostrożnym, gdy pop-upy oferuje zainstalowanie różnych modułów i wtyczek które są wyświetlane w oknie przeglądarki podczas surfowania w Internecie. Jeśli system został uszkodzony przez Trojan.Winlock.3846, należy użyć narzędzi Dr.Web LiveCD i Dr.Web CureIt, które pozwalają na awaryjne przywracanie systemu.

2011-07-19