Slayer

После Stuxnet, BitDefender выпускает утилиту для удаления трояна Carberp

В этой теме 1 сообщение

BitDefender®, производитель инновационных антивирусных продуктов, опубликовал бесплатную утилиту для удаления трояна Trojan.Downloader.Carberp.A. Будучи результатом развития технологий, примененных в вирусах Zeus и Brazilian Bankers, Trojan.Downloader.Carberp.A стремительно завоевал место среди сравнительно редкой разновидности троянов, рассчитанных в основном на похищение финансовых и аутентификационных данных.

Trojan.Downloader.Carberp.A крадет информацию, когда пользователь вводит аутентификационные данные, передаваемые через SSL соединение. Обычно это происходит при входе в различные службы онлайн-банкинга или веб-интерфейсы почтовых ящиков. Кроме того, троян следит за всеми службами, которые могут запускать SSL-аутентификацию, а также за списком конкретных сайтов, в который входят наиболее распространенные банки и почтовые службы.

«После проникновения на компьютер Trojan.Downloader.Carberp.A создает несколько временных файлов в папке %temp%, а затем копирует себя в папку автозагрузки Windows, чтобы запуститься после перезагрузки системы», - говорит Каталин Кошой, глава лаборатории он-лайн угроз компании BitDefender. «Такой подход может показаться слишком примитивным, по сравнению, например, с прописыванием автозапуска в реестр, тем не менее, он обеспечивает успешную работу трояна на новых системах, а также под учетными записями пользователей, не имеющих прав на изменение реестра».

После заражения системы, троян соединятся с сервером, с которого загружает зашифрованный конфигурационный файл и некоторые дополнительные модули. После этого он в состоянии не только перехватывать практически любой интернет-трафик, но и заблокировать любой антивирус, установленный на компьютере. Затем вирус отсылает на сервер свой уникальный идентификационный код и список запущенных на пораженной машине процессов.

В папку автозагрузки Trojan.Downloader.Carberp.A копирует себя под именем syscron.exe или chkntfs.exe а после этого использует файл ntdll.dll, чтобы скрыть себя, перехватывая все обращения к NtQueryDirectoryFile и ZwQueryDirectoryFile. То есть, пользователь не может увидеть файл, просматривая папку автозагрузки с помощью проводника или команды dir в командной строке.

«Каждый раз, когда пользователь вводит свои данные на сайте интернет-банка, почтовой службы или социальной сети, использующем SSL-аутентификацию, вирус перехватывает их до шифрования и передает на сервер злоумышленников через HTTP. И еще до того, как они достигнут банка, логин и пароль оказываются в руках кибер-воров», - продолжил Кошой.

Кроме всего прочего, Trojan.Downloader.Carberp.A особенно следит за обращениями пользователя к некоторым конкретным немецким, датским, голландским, американским и израильским банкам, следуя инструкциям и конфигурации, получаемой с управляющего сервера. Такой подход дает кибер-преступникам мощное средство практически прямой кражи электронных денег со счетов граждан и организаций. Trojan.Downloader.Carberp.A может устанавливать административные права и атаковать системы под управлением новейших ОС, не внося никаких изменений в реестр и другие критические системные области.

Пользователи полнофункциональных пакетов BitDefender защищены от этого вируса с момента его появления, а те, кто еще не установил серьезной антивирусной защиты, могут скачать утилиту для его удаления из раздела Removal Tools (Утилиты для удаления вирусов) портала www.malwarecity.com.

Все торговые марки и названия продуктов использованы в статье исключительно для информационных целей и принадлежат их законным владельцам.

Отредактировал Slayer
  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • PR55.RP55
      + DOTPITCH.INC
      Huai'an Qianfeng Network Technology Co., Ltd.
      Suzhou Xingchen Network Technology Co., Ltd.
      Kunshan Kuaila Information Technology Co., Ltd.
      RuiQing Software Technology Beijing Inc.
    • Lexluthor87
       Из своего личного опыта  могу поделиться следующей информацией. Кто-нибудь знаком с порядком получения микрокредитов в интернете? Я сам множество раз встречал в сети рекламу, типа, мгновенно любую сумму на ваш счет, без поручителей и залога, нужен только паспорт и ИНН...На днях срочно понадобились 3300 дол США  на 5-6 дней, и я начал искать варианты, типа быстроденьги и т.д. Я долго искал именно такой вариант, чтобы минимально переплачивать на процентах. Как я понял, в среднем процентные ставки микрокредитов в 2018 году составляют около 1-3% в день, это в основном зависит от суммы кредита. Но есть и варианты кредитов со ставкой менее 1%!!! Ставки 0,5-0,17% в день!!! Я нашел сам когда залез на https://fin32.com/ua , там куча предложений, пришлось перечитать массу вариантов, но оно того стоило. кому надо - пробуйте)
    • seomasterpro
      Если Ваш сайт работает на WordPress, то рекомендую установить плагин "Anti-Malware Security and Brute-Force Firewall".  Данный плагин является одним из немногих, что способны не только обнаруживать вредоносный код, но и умеют  удалять его. Функции и возможности. Автоматическое устранение известных угроз. Возможность загрузки определений новых угроз по мере их обнаружения. Автоматическое обновление версий TimThumb для устранения уязвимостей. Автоматическая установка обновления WP-login.php, чтобы блокировать атаку brute force. Возможность настроек сканирования. Запуск быстрого сканирования из админ. панели или полное сканирование из настроек плагина. Если Вам нужны рекомендации как пользоваться данным плагином для выявления вредоносных кодов на Вашем сайте, то можете обратиться к спецам от веб-студии на https://seo-master.pro Без регистрации плагин работает только в режиме сканирования. Регистрация плагина позволяет получить доступ к новым определениям «известных угроз» и другим функциям таким, как автоматическое удаление, а также патчи для конкретных уязвимостей , таких как старые версии TimThumb. Обновленные файлы определения могут быть загружены автоматически после того, как только Ваш ключ зарегистрирован. В противном случае, этот плагин просто сканирует на наличие потенциальных угроз и предоставляет Вам самостоятельно определять и удалять вредоносный код.
    • PR55.RP55
      Я с какой целью вам дал ссылку ? Откройте. И, если уж пишите про PC то стоит привести его характеристики. Asus k50c 2008 год; Windows 7; Одноядерный - Celeron 220 с тактовой частотой 1200 МГц; Память: DDR2 - 2ГБ. встроенная видеокарта: SiS Mirage 3+; HDD на 250 ГБ  
    • kostepanych
      А комодо без проблем работает без инета? Можно ли обновлять базы без инета, скачав обновления с официального сайта на другом компе?
      И не будет ли он сильно грузить старый ноут Asus k50c?