BitDefender опубликовал бесплатную утилиту для удаления трояна Trojan.Downloader.Carberp.A. Будучи результатом развития технологий, примененных в вирусах Zeus и Brazilian Bankers, Trojan.Downloader.Carberp.A стремительно завоевал место среди сравнительно редкой разновидности троянов, рассчитанных в основном на похищение финансовых и аутентификационных данных.
Trojan.Downloader.Carberp.A крадет информацию, когда пользователь вводит аутентификационные данные, передаваемые через SSL соединение. Обычно это происходит при входе в различные службы онлайн-банкинга или веб-интерфейсы почтовых ящиков. Кроме того, троян следит за всеми службами, которые могут запускать SSL-аутентификацию, а также за списком конкретных сайтов, в который входят наиболее распространенные банки и почтовые службы.
«После проникновения на компьютер Trojan.Downloader.Carberp.A создает несколько временных файлов в папке %temp%, а затем копирует себя в папку автозагрузки Windows, чтобы запуститься после перезагрузки системы», - говорит Каталин Кошой, глава лаборатории он-лайн угроз компании BitDefender. - «Такой подход может показаться слишком примитивным, по сравнению, например, с прописыванием автозапуска в реестр, тем не менее, он обеспечивает успешную работу трояна на новых системах, а также под учетными записями пользователей, не имеющих прав на изменение реестра».
После заражения системы, троян соединятся с сервером, с которого загружает зашифрованный конфигурационный файл и некоторые дополнительные модули. После этого он в состоянии не только перехватывать практически любой интернет-трафик, но и заблокировать любой антивирус, установленный на компьютере. Затем вирус отсылает на сервер свой уникальный идентификационный код и список запущенных на пораженной машине процессов.
В папку автозагрузки Trojan.Downloader.Carberp.A копирует себя под именем syscron.exe или chkntfs.exe а после этого использует файл ntdll.dll, чтобы скрыть себя, перехватывая все обращения к NtQueryDirectoryFile и ZwQueryDirectoryFile. То есть, пользователь не может увидеть файл, просматривая папку автозагрузки с помощью проводника или команды dir в командной строке.
Кроме всего прочего, Trojan.Downloader.Carberp.A особенно следит за обращениями пользователя к некоторым конкретным немецким, датским, голландским, американским и израильским банкам, следуя инструкциям и конфигурации, получаемой с управляющего сервера. Такой подход дает кибер-преступникам мощное средство практически прямой кражи электронных денег со счетов граждан и организаций. Trojan.Downloader.Carberp.A может устанавливать административные права и атаковать системы под управлением новейших ОС, не внося никаких изменений в реестр и другие критические системные области.
Пользователи могут скачать утилиту для его удаления из раздела Removal Tools (Утилиты для удаления вирусов) портала www.malwarecity.com.