Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Doctor Web a découvert des versions du Trojan.Winlock en français et en anglais

juillet 2011 par DrWeb

Les vagues de contamination des PC personnels par des programmes malveillants de la famille du Trojan.Winlock ont atteint les utilisateurs russes fin 2009 – début 2010, puis à l’été 2010. On constate actuellement une tendance à la propagation de ce type de menaces hors de Russie. Les spécialistes de Doctor Web avertissent les utilisateurs d’une nouvelle modification de ce trojan portant le nom Trojan.Winlock.3846 et visant un public encore plus large à l’échelle internationale. C’est la deuxième menace de ce type détectée par Doctor Web ce mois-ci.

A la différence du Trojan.Winlock.3794 déjà décrit , la nouvelle modification du programme extorqueur enregistre un lien vers lui-même dans la branche de la base de registre HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\userinit relative au démarrage des programmes par le processeur système winlogon au moment de l’entrée de l’utilisateur dans le système Windows. Par la suite, le système d’exploitation se retrouve bloqué au premier redémarrage de la machine après l’infection.

A la place de l’interface habituelle de Windows, l’écran de l’ordinateur infecté affiche un message absurde sur une faille d’un processus système à l’adresse 0x3BC3. Afin d’y remédier, l’utilisateur est invité à appeler l’un des numéros proposés pour obtenir un code à entrer dans le champ de déblocage. L’absurdité du message ne peut pas cacher le but des malfaiteurs : pousser l’utilisateur à appeler des numéros payants.

Cette modification du trojan bloquant a une particularité : les ressources du trojan contiennent plusieurs versions de la fenêtre bloquante en différentes langues destinées aux localisations de Windows correspondantes, il existe au moins des versions en anglais, en français et en russe.

Pour débloquer le système atteint pas Le Trojan.Winlock.3846, utilisez le code de déblocage suivant : 754-896-324-589-742

Doctor Web recommande aux utilisateurs de ne pas lancer sur leurs machines des applications téléchargées depuis des ressources douteuses ainsi que de ne pas ouvrir les pièces jointes reçues au sein de messages provenant d’expéditeurs inconnus. Il faut faire très attention aux messages des navigateurs web proposant d’installer des modules ou des plugins. Il est également fort recommandé d’utiliser un antivirus efficace. Les utilisateurs atteints par le Trojan.Winlock.3846 peuvent utiliser l’outil de secours antivirus de restauration du système Dr.Web LiveCD et l’utilitaire de désinfection Dr.Web CureIt !




Voir les articles précédents

    

Voir les articles suivants