Архив

Троянец DUNPWS замечен в воровстве логинов и паролей

Trend Micro сообщает о появлении нового троянца «DUNPWS», который может воровать логины и пароли с компьютера-жертвы и посылать их на удаленный компьютер. Trend Micro характеризует, однако, риск инфицирования этим вирусом, как низкий. Другие названия этого вируса: DUNPWS.CK, PWSteal.WinUp, Trojan.PSW.Gip.113.b.

При активизации троянец выводит на дисплей серию анимаций под названием «Impossible Mission» («Миссия невыполнима»). Затем троянец записывает файл WINSYS.EXE в Windows TEMP-директорию. Он также делает некоторые изменения в записях системного реестра (добавляет свои ключи), которые гарантируют запуск троянского файла при следующем запуске системы. После этого оригинальная троянская программа изменяет свой тип из Windows-исполняемого (PE EXE) в DOS-исполняемый файл.

Ключи, записываемые троянцем в системный реестр:

HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionPoliciesNetwork: added the entry name ▒DisablePwdCaching’

HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionRun : added the entry name ▒Welcome’

HKEY_CURRENT_USERSoftwareMicrosoftWindows added : added the entry names ▒File2′,’ver’ and ▒Pin’

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRun : added the entry name ▒Config’

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRunServices : added the entry name ▒Sevice’

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionPoliciesNetwork : added the entry name DisablePwdCaching

HKEY_USERS.DEFAULTSoftwareMicrosoftWindows
CurrentVersionPoliciesNetwork : added the entry name DisablePwdCaching

HKEY_USERS.DEFAULTSoftwareMicrosoftWindows
CurrentVersionRun: added the entry name ▒Welcome’

HKEY_USERS.DEFAULTSoftwareMicrosoftWindows added the entry names : ▒File2′,’ver’ and ▒Pin’

Как побороть троянца
  1. Во-первых удалите дроппер — WINSYS.EXE из Windows TEMP-директории;
  2. Удалите все добавленные троянцем ключи из системного реестра.
  3. Запустите антивирусный сканер и удалите все найденные файлы с именем DUNPWS.

Троянец DUNPWS замечен в воровстве логинов и паролей

Ваш e-mail не будет опубликован.

 

Отчеты

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике