Меню контента Закрыть

Архив

Воришка GLACIER готов приделать ноги всем Вашим паролям

Архив

мин. на чтение

Авторы

Trend Micro предупреждает пользователей о новом трояне TROJ_GLACIER.

Glacier принадлежит к довольно многочисленной группе троянских программ, основной целью которых является воровство паролей с компьютеров-жертв. Все введенные с клавиатуры пароли троян аккуратно записывает в лог-файл, который затем отправляет своему создателю с помощью стандартной библиотеки WINSOCK ОС Windows.

Деструктивные действия

При запуске троян создает две свои копии в системном каталоге Windows (обычно это WindowsSystem) с именами KERNEL32.EXE и SYSEXPLR.EXE.

Затем файл KERNEL32.EXE регистрируется в системном реестре для обеспечения автоматического запуска своего дроппера при каждом перезапуске Windows:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRunServices

имя ключа — «Default», значение — «KERNEL32.EXE»

После этого дроппер SYSEXPLR.EXE также регистрируется в реестре, обеспечивая его запуск при каждом открытии текстовых файлов:

HKEY_LOCAL_MACHINESoftwareCLASSEStxtfileshell
opencommand

имя ключа — «Default», значение — «SYSEXPLR.EXE»

После успешной инсталляции себя в систему троян приступает к исполнению своих прямых обязанностей — воровству паролей пользователя инфицированного компьютера. Делает он это, перехватывая все нажатия на клавиатуре и записывая все перехваченные символы в специальный файл (key.log), который затем отправляет хозяину по сети.

Как удалить GLACIER со своего компьютера
  1. Загрузите Windows в режиме MS-DOS
  2. Удалите файлы KERNEL32.EXE и SYSEXPLR.EXE в каталоге WindowsSystem
  3. Загрузите Windows
  4. Запустите regedit.exe и удалите ключи системного реестра «Default» со значением KERNEL32.EXE:

    HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
    CurrentVersionRun
    HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
    CurrentVersionRunServices

  5. Замените значение SYSEXPLR.EXE %1 в:

    HKEY_LOCAL_MACHINESoftwareCLASSEStxtfile
    shellopencommand

    на то, что было там ранее (программа, которая ассоциировалась с текстовыми файлами), например: если
    Вы использовали notepad (блокнот) для редактирования текстовых файлов, то Вам необходимо заменить «SYSEXPLR.EXE %1» на «C:WINDOWSNOTEPAD.EXE %1».

Авторы

Воришка GLACIER готов приделать ноги всем Вашим паролям

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

От тех же авторов

В той же категории

    • Последние публикации
    Отчеты

    ToddyCat — ваш скрытый почтовый ассистент. Часть 1

    Эксперты «Лаборатории Касперского» разбирают атаки APT ToddyCat через корпоративную электронную почту. Изучаем новую версию TomBerBil, инструменты TCSectorCopy и XstReader, а также способы кражи токенов доступа из Outlook.

    Криптоафера группы BlueNoroff: «призрачные» инвестиции и фиктивные рабочие предложения

    Эксперты команды GReAT проанализировали кампании GhostCall и GhostHire APT-группы BlueNoroff: несколько цепочек вредоносного ПО для macOS, поддельные клиенты Zoom и Microsoft Teams, а также изображения, улучшенные с помощью ChatGPT.

    Mem3nt0 mori – Hacking Team снова с нами!

    Исследователи «Лаборатории Касперского» впервые обнаружили шпионское ПО Dante, разработанное Memento Labs (бывшей Hacking Team) в дикой природе и нашли его связь с APT ForumTroll.

    Угрозы

    Угрозы

    Категории

    Категории

    Другие разделы

    © АО «Лаборатория Касперского», 2025.