регистрация | карта сайта
Постоянно обновляемая лента новостей
Обзоры, комментарии и статьи
Даты и дополнительная информация о событиях компьютерного рынка
Контакты, виды деятельности, предложения и другая информация о компьютерных компаниях
Новости, анонсы и пресс-релизы компьютерных компаний
Конференции с участием ведущих специалистов и экспертов
Информация для пользователей ITware, изменения персональных настроек, персональные закладки и web-карточки, служба переадресации
Неделя цифровых технологий
   
    
     Как искать?   Расширенный поиск
 ITware :. Новости      Вход для зарегистрированных пользователейВыход
Архив
ноябрь 2000
октябрь 2000
сентябрь 2000
август 2000
июль 2000
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31
июнь 2000
май 2000
апрель 2000
март 2000
Реклама





Воришка GLACIER ╚охотится╩ за паролями пользователей

10 июля 2000 г.

Антивирусная лаборатория ╚ЦЕБИТ╩ со ссылкой на компанию Trend Micro, разработчика антивирусного ПО, сообщила о появлении нового трояна TROJ_GLACIER.

    Glacier принадлежит к довольно многочисленной группе троянских программ, основной целью которых является воровство паролей с компьютеров-жертв. Все введенные с клавиатуры пароли этот троян аккуратно записывает в log-файл, который затем отправляет своему создателю с помощью стандартной библиотеки WINSOCK ОС Windows.

    Деструктивные действия: при запуске троян создает две свои копии в системном каталоге Windows (обычно это Windows\System) с именами KERNEL32.EXE и SYSEXPLR.EXE. Затем файл KERNEL32.EXE регистрируется в системном реестре для обеспечения автоматического запуска своего ╚дроппера╩ при каждом перезапуске Windows:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunServices
(имя ключа - "Default", значение - "KERNEL32.EXE").

    После этого ╚дроппер╩ SYSEXPLR.EXE также регистрируется в реестре, обеспечивая его запуск при каждом открытии текстовых файлов:

    HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\ open\command
(имя ключа - "Default", значение - "SYSEXPLR.EXE").

    После успешной инсталляции себя в систему троян приступает к исполнению своих прямых обязанностей - воровству паролей пользователя инфицированного компьютера. Делает он это, перехватывая все нажатия на клавиатуре и записывая все перехваченные символы в специальный файл (key.log), который затем отправляет хозяину по сети.

    Как удалить GLACIER со своего компьютера:
1. Загрузите Windows в режиме MS-DOS.
2. Удалите файлы KERNEL32.EXE и SYSEXPLR.EXE в каталоге Windows\System.
3. Загрузите Windows.
4. Запустите regedit.exe и удалите ключи системного реестра "Default" со значением KERNEL32.EXE:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunServices

    5.Замените значение SYSEXPLR.EXE %1 в:

    HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\ shell\open\command

    на то, что было там ранее (программа, которая ассоциировалась с текстовыми файлами), например: если вы использовали notepad (блокнот) для редактирования текстовых файлов, то тогда необходимо заменить "SYSEXPLR.EXE %1" на "C:\WINDOWS\NOTEPAD.EXE %1".

    По материалам пресс-релиза "ЦЕБИТ".

© ICC. Перепечатка допускается
только с разрешения .		 Новости Публикации Календарь событий Пресс-центр
IT-каталог: продукты IT-каталог: компании Библиотека
Форум Персональные сервисы Регистрация Карта сайта