Уязвимые ОС: Win NT-based
Размер: 119 296 байт
Упакован: -
- Написан на языке Visual Basic.
- Маскируется под игру в Тетрис.
-
При запуске пользователю выводится непосредственно игровое окно.
Одновременно с этим происходит скрытое инфицирование системы:
cоздаётся копия исходного файла-носителя в каталоге %WINDIR%\system32\drivers\winlogon.exe, которая регистрируется в качестве оболочки:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = %WINDIR%\system32\drivers\winlogon.exe
- Результаты работы Trojan.Winlock проявляются сразу после перезагрузки компьютера. Пользователю выводится сообщение о необходимости ввести код активации Windows:
Попытки ввести код приводят с выводу сообщения о том, что введённый номер является некорректным. При нажатии кнопки получения нового кода активации следует вывод окна с текстом, вымогающим за код активации либо 100, либо 300 рублей (зависит от модификации). Для оплаты кода активации предлагается перевести необходимую сумму на указанный счёт посредством системы платежей "Яндекс-Деньги".
Необходимо обратиться в Службу технической поддержки "Доктор Веб" для получения инструкций по восстановлению работоспособности системы.