Trojan.Winlock.5729 (под това име той добавя към вируса на "Доктор Уеб" база) е намерен в пакет програмата за инсталиране на Artmoney който играе игри, знае, че това е много полезно нещо за опаковане на ресурси, например. Artmoney Инсталационният пакет. включва 3 файлове - модифициран logonui.exe име iogonui.exe (файл, който е отговорен за IU дисплей на входа на Win XP), както и две саморазархивиращ се архив с бухалка файлове.
алгоритъма
Изтеглянето на климата инсталатор автоматично започва password_on.bat, което sistoit на набор от команди, предназначени за изпитване на операционната система - по този начин, ако един от физически дискове имат папка C: \ Users \ - това означава, че операционната система е Win Vista / Win 7. всички деструктивни пакети се изтрива, в противен случай, ако тази папка не съществува, троянски предполагат, че работи в Win XP. След това, той прониква в системния регистър и да го променяте, презаписване стандартната vindosovsky logonui.exe файл iogonui.exe, и разбира се променя паролата на текущия потребител на Windows сметка и други местни потребители с име "администратор" "администратор", "администратор", " администратор. " За отбелязване е, ако даден потребител е влязъл в с ограничен потребител, троянецът преустанови дейностите си. Друг бухалка-файла - password_off.bat - нулира паролите и се връща на първоначалната стойност на uihost на системния регистър.
Т.е. ако потребителят иска да се рестартира или промяна на сметката се блокира системата и се появява следния екран:
Както вече споменахме, подписа се добавя към вируса на базата данни на Dr.Web. така занаятчии компании вече са изчистени тази опасност, ако вдигна троянски парола - "Благодаря ти" (без кавичките), а след това Winlock.5729 изтриете всички пароли за uchetok. Но в случай, ако паролата не работи, можете да се стартира от всяка живо CD и дръжки промяна в стойността на регистър uihost настройка (HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon) на logonui.exe.
Според материалите: expo-itsecurity.ru