Une fois lancé sur le PC infecté, le Trojan.Winlock.7372 modifie la branche du registre relative à
l’auto démarrage des applications, puis recherche les processus de toute une série d’applications :
Gestionnaire des tâches, notepad, rédacteur du registre, ligne de commandes, navigateurs Microsoft
Internet Explorer, Google Chrome, Firefox, Opera, applications ProcessHacker, Process Monitor etc.
Ensuite le trojan utilise une méthode très rare : il stoppe le pare-feu du PC.

Enfin, le Trojan.Winlock.7372 crée une fenêtre invisible sur tout l’écran et y télécharge la page web
des malfaiteurs avec un message demandant de payer pour le déblocage.
Le message, rédigé en anglais, est soi-disant envoyé par le FBI et informe l’utilisateur qu’il a violé les
lois fédérales des Etats-Unis. Les malfaiteurs demandent 200 dollars pour le déblocage, payables via
MoneyPak, et menacent l’utilisateur d’être arrêté si le paiement n’est pas effectué sous 72 heures.

Le code de confirmation pour le paiement doit être envoyé depuis la page affichée. Si on essaie
d’accéder au serveur des malfaiteurs, on nous demande d’entrer un nom d’utilisateur et un mot de
passe, cette page permet aux pirates de surveiller la propagation du Trojan.Winlock.7372 et de
modifier ses configurations.

La signature de cette menace a été ajoutée aux bases virales Dr.Web.