cu troianul Carberp
Utilitarul poate fi descărcat gratuit de pe MalwareCity.com
BitDefender® anunţă lansarea unui utilitar ce asigură protecţie împotriva Trojan.Downloader.Carberp.A. Având la bază tehnologia implementată în Zeus şi troienii bancari brazilieni, Trojan.Downloader.Carberp.A şi-a câştigat rapid un loc de onoare în clasamentul ameninţărilor informatice ce vizează bănci. Acesta a fost creat pentru a intercepta, manipula şi fura informaţii confidenţiale pe care un utilizator obişnuit le trimite sau le primeşte pe internet.
Trojan.Downloader.Carberp.A fură date de pe site-urile care folosesc conexiuni securizate pentru autentificare, precum serviciile de online banking sau cele de e-mail. În afară de monitorizarea site-urilor care necesită autentificarea de tip SSL, Trojan.Downloader.Carberp.A este instruit să monitorizeze o listă de site-uri care găzduiesc portaluri de e-banking.
“O dată executat în calculator, Trojan.Downloader.Carberp.A creează mai multe fişiere temporare în directorul %temp%, apoi se auto-copiază în folderul Windows Startup, pentru a se putea executa după fiecare restart sau pornire” a declarat Cătălin Coşoi, Head of the BitDefender Online Threats Lab. “Deşi această abordare poate părea rudimentară în comparaţie cu alte familii de malware care adaugă intrări de autoexecuţie în Windows Registry, acest lucru îi permite troianului să se autoexecute pe sisteme de operare noi sau să funcţioneze pe conturile utilizatorilor care nu au drept de administrator” a adăugat acesta.
Imediat după infectare, downloader-ul se conectează la un server de comandă şi control, de unde va descărca un fişier criptat, împreună cu o serie de module, care permit troianului să intercepteze datele transmise online şi să anihileze anumite soluţii antivirus pe care le găseşte instalate. Apoi trimite către serverul de comandă şi control un ID unic şi încarcă lista proceselor care rulează printr-o cerere de tip GET.
După copierea sa în directorul startup, fie ca syscron.exe sau chkntfs.exe, Trojan.Downloader.Carberp.A îşi ascunde prezenţa folosind hook-uri în ntdll.dll pentru a intercepta cererile către funcţiile de căutare NtQueryDirectoryFile şi ZwQueryDirectoryFile. Asta înseamnă că utilizatorul nu poate vedea fişierele infectate atunci când foloseşte Windows® Explorer sau comanda dir.
Coşoi a continuat: “De fiecare dată când un utilizator se autentifică prin SSL pentru a avea acess la online banking, e-mail sau conturile de pe reţelele sociale, Trojan.Downloader.Carberp.A fură detaliile înainte de a fi criptate şi le trimite către un server de comandă şi control prin HTTP. Până când datele de autentificare ajung la serverul băncii, acestea vor intra deja în posesia atacatorilor”.
Trojan.Downloader.Carberp.A are în vizor şi anumite bănci din Germania, Danemarca, Olanda, America şi Israel, aşa cum arată instrucţiunile de configurare primite de la serverul de comandă şi control. Această abordare sofisticată asigură un instrument financiar puterni menit să fure bani de la utilizatori individuali şi companii. Trojan.Downloader.Carberp.A se poate autoinstala şi în lipsa privilegiilor de administrator, poate ataca sisteme care funcţionează pe cele mai noi sisteme de operare şi nu face nicio modificare în regiştrii sau în zonele critice ale acestora.
Clienţii BitDefender beneficiază de protecţie din prima zi, datorită mecanismelor generice de detecţie bazate pe. Utilizatorii care nu beneficiază de protecţie BitDefender pot descărca un utilitar de dezinfecţie gratuit din secţiunea Download a MalwareCity.com.
{mosloadposition user9}