Перейти к содержанию
Slayer

После Stuxnet, BitDefender выпускает утилиту для удаления трояна Carberp

Recommended Posts

Slayer

BitDefender®, производитель инновационных антивирусных продуктов, опубликовал бесплатную утилиту для удаления трояна Trojan.Downloader.Carberp.A. Будучи результатом развития технологий, примененных в вирусах Zeus и Brazilian Bankers, Trojan.Downloader.Carberp.A стремительно завоевал место среди сравнительно редкой разновидности троянов, рассчитанных в основном на похищение финансовых и аутентификационных данных.

Trojan.Downloader.Carberp.A крадет информацию, когда пользователь вводит аутентификационные данные, передаваемые через SSL соединение. Обычно это происходит при входе в различные службы онлайн-банкинга или веб-интерфейсы почтовых ящиков. Кроме того, троян следит за всеми службами, которые могут запускать SSL-аутентификацию, а также за списком конкретных сайтов, в который входят наиболее распространенные банки и почтовые службы.

«После проникновения на компьютер Trojan.Downloader.Carberp.A создает несколько временных файлов в папке %temp%, а затем копирует себя в папку автозагрузки Windows, чтобы запуститься после перезагрузки системы», - говорит Каталин Кошой, глава лаборатории он-лайн угроз компании BitDefender. «Такой подход может показаться слишком примитивным, по сравнению, например, с прописыванием автозапуска в реестр, тем не менее, он обеспечивает успешную работу трояна на новых системах, а также под учетными записями пользователей, не имеющих прав на изменение реестра».

После заражения системы, троян соединятся с сервером, с которого загружает зашифрованный конфигурационный файл и некоторые дополнительные модули. После этого он в состоянии не только перехватывать практически любой интернет-трафик, но и заблокировать любой антивирус, установленный на компьютере. Затем вирус отсылает на сервер свой уникальный идентификационный код и список запущенных на пораженной машине процессов.

В папку автозагрузки Trojan.Downloader.Carberp.A копирует себя под именем syscron.exe или chkntfs.exe а после этого использует файл ntdll.dll, чтобы скрыть себя, перехватывая все обращения к NtQueryDirectoryFile и ZwQueryDirectoryFile. То есть, пользователь не может увидеть файл, просматривая папку автозагрузки с помощью проводника или команды dir в командной строке.

«Каждый раз, когда пользователь вводит свои данные на сайте интернет-банка, почтовой службы или социальной сети, использующем SSL-аутентификацию, вирус перехватывает их до шифрования и передает на сервер злоумышленников через HTTP. И еще до того, как они достигнут банка, логин и пароль оказываются в руках кибер-воров», - продолжил Кошой.

Кроме всего прочего, Trojan.Downloader.Carberp.A особенно следит за обращениями пользователя к некоторым конкретным немецким, датским, голландским, американским и израильским банкам, следуя инструкциям и конфигурации, получаемой с управляющего сервера. Такой подход дает кибер-преступникам мощное средство практически прямой кражи электронных денег со счетов граждан и организаций. Trojan.Downloader.Carberp.A может устанавливать административные права и атаковать системы под управлением новейших ОС, не внося никаких изменений в реестр и другие критические системные области.

Пользователи полнофункциональных пакетов BitDefender защищены от этого вируса с момента его появления, а те, кто еще не установил серьезной антивирусной защиты, могут скачать утилиту для его удаления из раздела Removal Tools (Утилиты для удаления вирусов) портала www.malwarecity.com.

Все торговые марки и названия продуктов использованы в статье исключительно для информационных целей и принадлежат их законным владельцам.

Отредактировал Slayer
  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • 7006605
      15 августа в Центре культуры им. Х. М. Темирканова в КБГУ открылась Международная летняя школа «Корни дружбы наших народов – в нашей истории». Школа проходит в третий раз при финансовой поддержке фонда «Русский мир» и продлится до 20 августа. В этот раз участниками форума стали студенты КБГУ, Брестского государственного университета им. А.С. Пушкина, Тбилисского государственного университета им. И. Джавахишвили, Южно-Казахстанского государственного педагогического университета, учащиеся классической гимназии г. Донецка, литературной студии «Свеча» и воспитанники Детской академии творчества «Солнечный город» г. Нальчика. От имени руководства гостей вуза поприветствовал исполняющий обязанности проректора КБГУ по воспитательной работе и социальным вопросам Артур Кажаров: «Тема и цель этой школы – развитие дружеских связей между народами посредством изучения совместной истории и культуры, очень гармонично вписывается в концепцию деятельности университета, стремящегося стать опорным центром науки, культуры, межнационального согласия в Кавказском регионе. Желаю вам взять от этой встречи все самое ценное и лучшее для вас и государств, которые вы представляете», — сказал Артур Кажаров. Инициатор и руководитель Международной летней школы — профессор, заведующая кафедрой русского языка и общего языкознания КБГУ Светлана Башиева поблагодарила гостей из Грузии, Республики Беларусь, Казахстана, Украины за то, что своим приездом выразили солидарность идеям встречи, и подчеркнула, что работа школы будет насыщенной и интересной. «Программа нашей работы предусматривает лекции по русскому языку, литературе, истории, проблемам межэтнической толерантности, вечер русской поэзии, конкурс сочинений, круглые столы на этнокультурную тематику и по молодежной политике, этнографический праздник в одном из районов республики «Нас объединяет русский язык». Отрадно, что это научное общение стирает границы не только между государствами, но и возрастные – в работе примут участие доктора наук, аспиранты, студенты и школьники», — отметила Светлана Башиева. В открытии Международной летней школы «Корни дружбы наших народов – в нашей истории» также приняли участие и выступили профессор Тбилисского государственного университета им. И. Джавахишвили Джони Квициани, заместитель декана филологического факультета Брестского государственного университета им. А.С. Пушкина, доцент кафедры русского языка и литературы Ольга Ковальчук, доцент кафедры русского языка и литературы Южно-Казахстанского государственного педагогического университета Уалихан Абдыханов, руководители республиканских национально-культурных центров «Вече», «Риони» и представители молодежных организаций.
    • PR55.RP55
      И это uVS точно не видит: HKU\S-1-5-21-1867217750-153899321-2446527166-1000\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Hipmy\Application\chrome.exe * Это из лога FRST  
    • dorin
      Ну например я имею дополнительный доход с интернете. Вот на этом  https://joycasinoclub.com/ портале  можно не плохо заработать. Мне он отлично подходит.      
    • seomasterpro
      Если позитивный отзыв о положительных качествах плагина "Anti-Malware Security and Brute-Force Firewall" для кого-то является пиаром, то пусть будет как вы считаете. Но главное ведь в том, что плагин позволяет не только обнаруживать вредоносный код, но и умеют  удалять его! Если кто-то из участников этой темы может привести другой пример, - напишите и расскажите его возможности. А когда кто-то пишет, что это просто пиар, то вы хоть прочтите название темы, - "Как защититься от взлома сайта?". Не стоит писать пустых предложений, а лучше пишите по-существу темы!!! Только читайте всегда название.
    • Molly01
      Можете воспользоваться специальным сервисом по поиску, достаточно знать хоть какие-то данные. Вот к примеру этот сайт https://bazaperson.ru/gorod/Moskva/ попробуйте, может поможет.
×