Меню контента Закрыть

Архив

Воришка GLACIER готов приделать ноги всем Вашим паролям

Архив

мин. на чтение

Авторы

Trend Micro предупреждает пользователей о новом трояне TROJ_GLACIER.

Glacier принадлежит к довольно многочисленной группе троянских программ, основной целью которых является воровство паролей с компьютеров-жертв. Все введенные с клавиатуры пароли троян аккуратно записывает в лог-файл, который затем отправляет своему создателю с помощью стандартной библиотеки WINSOCK ОС Windows.

Деструктивные действия

При запуске троян создает две свои копии в системном каталоге Windows (обычно это WindowsSystem) с именами KERNEL32.EXE и SYSEXPLR.EXE.

Затем файл KERNEL32.EXE регистрируется в системном реестре для обеспечения автоматического запуска своего дроппера при каждом перезапуске Windows:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRunServices

имя ключа — «Default», значение — «KERNEL32.EXE»

После этого дроппер SYSEXPLR.EXE также регистрируется в реестре, обеспечивая его запуск при каждом открытии текстовых файлов:

HKEY_LOCAL_MACHINESoftwareCLASSEStxtfileshell
opencommand

имя ключа — «Default», значение — «SYSEXPLR.EXE»

После успешной инсталляции себя в систему троян приступает к исполнению своих прямых обязанностей — воровству паролей пользователя инфицированного компьютера. Делает он это, перехватывая все нажатия на клавиатуре и записывая все перехваченные символы в специальный файл (key.log), который затем отправляет хозяину по сети.

Как удалить GLACIER со своего компьютера
  1. Загрузите Windows в режиме MS-DOS
  2. Удалите файлы KERNEL32.EXE и SYSEXPLR.EXE в каталоге WindowsSystem
  3. Загрузите Windows
  4. Запустите regedit.exe и удалите ключи системного реестра «Default» со значением KERNEL32.EXE:

    HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
    CurrentVersionRun
    HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
    CurrentVersionRunServices

  5. Замените значение SYSEXPLR.EXE %1 в:

    HKEY_LOCAL_MACHINESoftwareCLASSEStxtfile
    shellopencommand

    на то, что было там ранее (программа, которая ассоциировалась с текстовыми файлами), например: если
    Вы использовали notepad (блокнот) для редактирования текстовых файлов, то Вам необходимо заменить «SYSEXPLR.EXE %1» на «C:WINDOWSNOTEPAD.EXE %1».

Авторы

Воришка GLACIER готов приделать ноги всем Вашим паролям

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

От тех же авторов

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике

В той же категории

    • Последние публикации
    Отчеты

    StripedFly: двуликий и незаметный

    Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

    Азиатские APT-группировки: тактики, техники и процедуры

    Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

    Как поймать «Триангуляцию»

    Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

    Подпишитесь на еженедельную рассылку

    Самая актуальная аналитика – в вашем почтовом ящике

    Угрозы

    Угрозы

    Категории

    Категории

    Другие разделы

    © АО «Лаборатория Касперского», 2024.

    Подпишитесь на еженедельную рассылку

    Самая актуальная аналитика – в вашем почтовом ящике