Компанія «Доктор Веб» повідомила про появу нового троянця-блокувальника, доданого у вірусні бази під ім'ям Trojan.Winlock.5729. Особливість цієї програми-вимагача полягає в тому, що вона блокує операційну систему, використовуючи штатні засоби Windows, шляхом зміни пароля локальних користувачів.
Троянець ховається в установчому дистрибутиві популярної програми Artmoney, призначеної для «накрутки» різних ресурсів у комп'ютерних іграх. Крім реального установника Artmoney, інсталятор містить три файли: змінений файл logonui.exe з ім'ям iogonui.exe (цей файл відповідає за демонстрацію графічного інтерфейсу при вході користувача в Windows XP) і два архіви, що саморозпаковуються, містять bat-файли. При завантаженні інфікованого інсталятора запускається перший з них, password_on.bat. Цей файл містить набір команд, що перевіряють операційну систему: якщо на жорсткому диску присутня тека c:\ users\, що є характерною ознакою операційної системи Windows Vista і Windows 7, шкідливі компоненти видаляються, якщо ж така папка відсутня, троянець вважає, що він запущений в Windows XP. У цьому випадку Trojan.Winlock.5729 модифікує системний реєстр, підміняючи при завантаженні Windows стандартний logonui.exe власним файлом iogonui.exe, і змінює пароль облікового запису Windows для поточного користувача і локальних користувачів з іменами «admin», «administrator», «адмін» Якщо поточний користувач працює в обмеженому обліковому записі, робота троянця припиняється. Ще один bat-файл - password_off.bat - видаляє всі паролі і повертає в системному реєстрі оригінальне значення UIHost.
Файл iogonui.exe є справжнім автентичним файлом logonui.exe з комплекту поставки Windows XP, в якому за допомогою редактора ресурсів було змінено стандартний рядок вітання Windows на вимогу відправити платне СМС-повідомлення.
Таким чином, виконавши вихід з системи або перезавантаження, користувач вже не зможе здійснити вхід, оскільки паролі всіх облікових записів користувачів були змінені.
Якщо ви стали жертвою цього троянця, для входу в систему використовуйте пароль «Спасибі!» (без лапок), після чого Trojan.Winlock.5729 автоматично скине паролі облікових записів. Якщо цього не сталося, можна вручну змінити значення параметра UIHost у гілці реєстру HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon на logonui.exe.
