Архив

Воришка GLACIER готов приделать ноги всем Вашим паролям

Trend Micro предупреждает пользователей о новом трояне TROJ_GLACIER.

Glacier принадлежит к довольно многочисленной группе троянских программ, основной целью которых является воровство паролей с компьютеров-жертв. Все введенные с клавиатуры пароли троян аккуратно записывает в лог-файл, который затем отправляет своему создателю с помощью стандартной библиотеки WINSOCK ОС Windows.

Деструктивные действия

При запуске троян создает две свои копии в системном каталоге Windows (обычно это WindowsSystem) с именами KERNEL32.EXE и SYSEXPLR.EXE.

Затем файл KERNEL32.EXE регистрируется в системном реестре для обеспечения автоматического запуска своего дроппера при каждом перезапуске Windows:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRunServices

имя ключа — «Default», значение — «KERNEL32.EXE»

После этого дроппер SYSEXPLR.EXE также регистрируется в реестре, обеспечивая его запуск при каждом открытии текстовых файлов:

HKEY_LOCAL_MACHINESoftwareCLASSEStxtfileshell
opencommand

имя ключа — «Default», значение — «SYSEXPLR.EXE»

После успешной инсталляции себя в систему троян приступает к исполнению своих прямых обязанностей — воровству паролей пользователя инфицированного компьютера. Делает он это, перехватывая все нажатия на клавиатуре и записывая все перехваченные символы в специальный файл (key.log), который затем отправляет хозяину по сети.

Как удалить GLACIER со своего компьютера
  1. Загрузите Windows в режиме MS-DOS
  2. Удалите файлы KERNEL32.EXE и SYSEXPLR.EXE в каталоге WindowsSystem
  3. Загрузите Windows
  4. Запустите regedit.exe и удалите ключи системного реестра «Default» со значением KERNEL32.EXE:

    HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
    CurrentVersionRun
    HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
    CurrentVersionRunServices

  5. Замените значение SYSEXPLR.EXE %1 в:

    HKEY_LOCAL_MACHINESoftwareCLASSEStxtfile
    shellopencommand

    на то, что было там ранее (программа, которая ассоциировалась с текстовыми файлами), например: если
    Вы использовали notepad (блокнот) для редактирования текстовых файлов, то Вам необходимо заменить «SYSEXPLR.EXE %1» на «C:WINDOWSNOTEPAD.EXE %1».

Воришка GLACIER готов приделать ноги всем Вашим паролям

Ваш e-mail не будет опубликован.

 

Отчеты

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике