# Форум на русском языке  > Новости  > Новости компьютерной безопасности  >  «Доктор Веб» помогает избавиться от троянца, блокирующего доступ к системе

## SDA

10 апреля 2009 года

Компания «Доктор Веб» информирует о появлении новой троянской программы, которая при запуске компьютера предлагает ввести регистрационный код якобы для регистрации нелицензионной копии Windows. Для получения регистрационного кода требуется отправить платное SMS-сообщение.

В последнее время значительно возросло число вредоносных программ-вымогателей, требующих отправить SMS-сообщения для получения доступа к системе или к пользовательским документам. 8 апреля 2009 года вирусными аналитиками компании «Доктор Веб» был получен образец очередной программы, которая распространяется в виде поддельных кодеков и при запуске Windows выводит сообщение о необходимости отправить SMS с текстом для разблокировки доступа к системе. Данная вредоносная программа была добавлена в вирусную базу Dr.Web под именем Trojan.Winlock.19. Ее модификации уже автоматически распознаются технологией Origins TracingTM как Trojan.Winlock.origin. 
Trojan.Winlock обладает особенностью, позволяющей ему удалять себя через 2 часа после запуска. Для тех, кто не хочет ждать, специалисты компании «Доктор Веб» подготовили специальную форму, в которую можно ввести текст предполагаемого sms-сообщения и получить код разблокировки. дальше http://news.drweb.com/show/?i=304&c=5

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## priv8v

молодцы. расковыряли программу и посмотрели какому тексту смс какой код активации соответствует :Smiley: 
а авторы необычного троя сделали - имею в виду удаление через 2 часа. про такое не слышал, что бы трой лочил систему, а если у юзера оказывались крепкие нервы, то трой пугался бы и сдавался на милость юзера...

----------


## nisome

Сделали Keygen к вирусу. :Clapping: 
Осталось автору вируса улучшить алгоритм проверки ключа (элептика, например) или проводить on-line тест "лицензии".

----------


## priv8v

онлайн-тест вряд ли выйдет. нужно ведь к инету подключаться. а при загрузке системы не у всех сразу инет появляется - многим нужно его вручную запускать (вводить логин/пароль и т.д)




> Осталось автору вируса улучшить алгоритм проверки ключа (элептика, например)


ну тут они от сервиса по оплате через смс полностью зависит. допустим им разрешается 10 вариантов посылаемого текста на этот номер и также 10 ответов на них - соответственно на каждый текст свой ответ. итого выходит в программе мертво зашито 10 текстов один из которых отображается юзеру и его просят его послать, и сверяет программа то, что ввели в качестве ответа с правильным... ну, в общем, думаю понятно. 
а делать индивидуальные билды, где зашит всего 1 вопрос и ответ на него же - уже что-то, но более хлопотно.

----------


## pig

> онлайн-тест вряд ли выйдет. нужно ведь к инету подключаться. а при загрузке системы не у всех сразу инет появляется - многим нужно его вручную запускать (вводить логин/пароль и т.д)


Оно аффтарам вообще надо? Я удивляюсь, что там вообще есть реально работающая разблокировка. Что-то не видел нигде сообщений о получении ответа на SMS.

----------


## Shark

боян. Такая хрень давно уже есть.

----------


## Макcим

Для избавления от данной модификации нужно из папки c:/documents and settings/all users/application data/ удалить blocker.exe и blocker.bin

Но для неопытных пользователей лучше воспользоваться рекомендациями Dr. Web.

----------


## Синауридзе Александр

Рекомендации от Dr.Web - х... !  :Cheesy:  Это уже не работает, так как вирусописатель не сидит сложа руки.

----------


## SDA

> Рекомендации от Dr.Web - х... !  Это уже не работает, так как вирусописатель не сидит сложа руки.


А что не х...? Наверное только х......е советы  :Wink:

----------


## Rampant

Реестр ещё надо подчистить, в разделе
 HLKM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
найти ключ
"C:\\WINDOWS\\system32\\userinit.exe,C:\\DOCUME~1\  \ALLUSE~1\\APPLIC~1\\blocker.exe"
и убрать лишнее, должно быть так
"C:\\WINDOWS\\system32\\userinit.exe"

----------


## skt-maksim

Вот тут
http://www.viruslist.com/ru/weblog?discuss=207758824
тоже интересное решение.

----------


## credomax

Можно просто в биосе время вперед перевести... у меня немного другой троян был... я просто время на пару суток вперед перевел и все троян ушел... потом я его пробывал проверять AVZ не видит его как вирус, а вот launch нашел...

----------


## PavelP

Разновидностей "вымогателя"- приличная копна (сам "прогонял" 3 или 4 разных sms-попрошаек на объектах)... в большенстве своём отлавливаются в безопасном режиме джентльменским набором AVZ\CureIt\AVPTool\GMER

----------


## light59

> потом я его пробывал проверять AVZ не видит его как вирус


а AVZ и не обязан... Его прелести в другом...

----------


## othelve09

я на компе,где сидит человек и нужно сделать всю операцию чтобы он не видел : под его логином и паролем в программе

----------

