Перейти к содержанию
Slayer

После Stuxnet, BitDefender выпускает утилиту для удаления трояна Carberp

Recommended Posts

Slayer

BitDefender®, производитель инновационных антивирусных продуктов, опубликовал бесплатную утилиту для удаления трояна Trojan.Downloader.Carberp.A. Будучи результатом развития технологий, примененных в вирусах Zeus и Brazilian Bankers, Trojan.Downloader.Carberp.A стремительно завоевал место среди сравнительно редкой разновидности троянов, рассчитанных в основном на похищение финансовых и аутентификационных данных.

Trojan.Downloader.Carberp.A крадет информацию, когда пользователь вводит аутентификационные данные, передаваемые через SSL соединение. Обычно это происходит при входе в различные службы онлайн-банкинга или веб-интерфейсы почтовых ящиков. Кроме того, троян следит за всеми службами, которые могут запускать SSL-аутентификацию, а также за списком конкретных сайтов, в который входят наиболее распространенные банки и почтовые службы.

«После проникновения на компьютер Trojan.Downloader.Carberp.A создает несколько временных файлов в папке %temp%, а затем копирует себя в папку автозагрузки Windows, чтобы запуститься после перезагрузки системы», - говорит Каталин Кошой, глава лаборатории он-лайн угроз компании BitDefender. «Такой подход может показаться слишком примитивным, по сравнению, например, с прописыванием автозапуска в реестр, тем не менее, он обеспечивает успешную работу трояна на новых системах, а также под учетными записями пользователей, не имеющих прав на изменение реестра».

После заражения системы, троян соединятся с сервером, с которого загружает зашифрованный конфигурационный файл и некоторые дополнительные модули. После этого он в состоянии не только перехватывать практически любой интернет-трафик, но и заблокировать любой антивирус, установленный на компьютере. Затем вирус отсылает на сервер свой уникальный идентификационный код и список запущенных на пораженной машине процессов.

В папку автозагрузки Trojan.Downloader.Carberp.A копирует себя под именем syscron.exe или chkntfs.exe а после этого использует файл ntdll.dll, чтобы скрыть себя, перехватывая все обращения к NtQueryDirectoryFile и ZwQueryDirectoryFile. То есть, пользователь не может увидеть файл, просматривая папку автозагрузки с помощью проводника или команды dir в командной строке.

«Каждый раз, когда пользователь вводит свои данные на сайте интернет-банка, почтовой службы или социальной сети, использующем SSL-аутентификацию, вирус перехватывает их до шифрования и передает на сервер злоумышленников через HTTP. И еще до того, как они достигнут банка, логин и пароль оказываются в руках кибер-воров», - продолжил Кошой.

Кроме всего прочего, Trojan.Downloader.Carberp.A особенно следит за обращениями пользователя к некоторым конкретным немецким, датским, голландским, американским и израильским банкам, следуя инструкциям и конфигурации, получаемой с управляющего сервера. Такой подход дает кибер-преступникам мощное средство практически прямой кражи электронных денег со счетов граждан и организаций. Trojan.Downloader.Carberp.A может устанавливать административные права и атаковать системы под управлением новейших ОС, не внося никаких изменений в реестр и другие критические системные области.

Пользователи полнофункциональных пакетов BitDefender защищены от этого вируса с момента его появления, а те, кто еще не установил серьезной антивирусной защиты, могут скачать утилиту для его удаления из раздела Removal Tools (Утилиты для удаления вирусов) портала www.malwarecity.com.

Все торговые марки и названия продуктов использованы в статье исключительно для информационных целей и принадлежат их законным владельцам.

Отредактировал Slayer
  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • 1kryptik
      Был по работе в Новосибирске, задержался на два дня, думал сначала успеть всё за день и улететь обратно в Москву, но не успел. Пришлось искать где переночевать, нашел отличный хостел новосибирск у жд вокзала, если возникнут проблемы с проживанием, обращайтесь в этот хостел!
    • BooiCasino
    • Quinci
      Ну вы бы установщику сообщили сразу, что ноут не из новых. Может он бы и не стал вам 10-ку устанавливать. Если нет желания покупать новый ноут, то можно поставить пару планок оперативы, да и жесткий диск сменить с HDD на SSD, тогда и с 10-ой работать быстрее будет. Если винда не чистая, а скачанная откуда-нибудь с торрентов, то там, скорее всего куча программ есть и приложений. Тут https://windowsabc.ru/windows-10/kak-povysit-proizvoditelnost-noutbuka-na-windows-10/ почитайте, как их убрать, чтоб не грузили ноут. Тогда тоже будет быстрее работать. 
    • Tuki
      Мне интересны ставки на спорт. Во-первых, это интересно для каждого любителя спорта. Во-вторых, это может быть прибыльно. В общем, я сейчас делаю ставки, но пока опыта как такового нет. Хочу сменить контору на 1xbet. Условия очень хорошие. Есть сайт https://on-bet.ru/zerkala-bukmekerskih-kontor/zerkalo-1xbet/, на котором есть вся необходимая информация о зеркале этой конторы. О том, как его найти и не ошибиться.
    • Momo
      Если бы я ещё умела это делать. Спасибо, посмотрю ваш специализированный форум и там спрошу.
×