Информационная безопасность компьютерных систем и защита конфиденциальных данных
SecuRRity.Ru » Новости » Новая троянская программа Carberp становится все более популярной
Новости

Новая троянская программа Carberp становится все более популярной

автор: Administrator | 13 октября 2010, 17:00 | Просмотров: 24774
теги: Carberp, троянская программа, Bugat



Новая троянская программа Carberp становится все более популярной Компания TrustDefender, поставщик решений в области безопасности транзакций, предупреждает пользователей банковских сервисов о новой троянской программе, не менее опасной, чем печально известный Zeus, пишет Infosecurity.

Новая троянская программа, получившая название Carberp, по своим функциям весьма похожа на ZeuS, сейчас становится все более популярным инструментом киберпреступников в Европе и США, специализирующихся на воровстве информации, идентифицирующей пользователя банковских услуг онлайн.

Хотя Zeus уже полтора года остается самым популярным орудием киберпреступников, эксперты TrustDefender утверждают, что уже наблюдают новых перспективных игроков на рынке вредоносного ПО - с расширенным набором функций и широкой сетью распространения, которые могут стать крепким орешком для существующего антитроянского ПО.

Андреас Баумхоф (Andreas Baumhof), главный директор по технологиям TrustDefender, говорит, что Carberp относится к вредоносных программам разработанными для конкретной цели, а ещё, он совершенствуется и эволюционирует очень быстро.

„В TrustDefender ожидают, что Carberp будет и дальше совершенствоваться, превращаясь в серьезную угрозу для финансовой, политической и личной информации”, — сказал он и добавил, что это ясно показывает, насколько быстро преступники разрабатывают новые, все более совершенные инструменты.

Впервые Carberp был обнаружен группой Баумхофа еще в мае этого года, но в компании говорят, что эксперты только недавно начали наблюдать стремительное совершенствование этого троянца, который эволюционирует буквально на глазах.

Одна из наиболее интересных черт Carberp — это его способность избавляться от конкурентов, блокируя другие троянцы, которые потенциально могут помешать работе или отослать украденную информацию конкурирующим киберпреступным группировкам.

Другие особенности Carberp включают возможность запуска, не требующего администраторского доступа к заражённому компьютеру. Эксперты говорят, что уязвимы к заражению, являются платформы Windows XP, Vista и Windows 7.

Сообщается, что троянец вводит в любую банковскую сессию оверлеи динамического HTML — примерно, как и Zeus, Gozi и SpyEye, с целью выявления схем динамической аутентификации, например, таких как двухфакторная аутентификация.

Андреас Баумхоф говорит, что ситуация с троянцами вроде Carberp будет только ухудшаться — по мере того, как этот класс вредоносных программ будет занимать новые ниши, например, Windows 7, Apple Mac и мобильные устройства.

Хочется отметить, что вчера, Infosecurity сообщила о том, что по данным компании Trusteer, киберпреступники разработали новую, более эффективную, версию вредоносного ПО, известного под названием Bugat, предназначенного для кражи информации, идентифицирующей пользователя.

Как и Carberp, троянец Bugat был впервые обнаружен в начале этого года. Сообщалось, что он работал примерно так же, как и ZeuS, но в отличие от последнего Bugat хорошо обнаруживался и блокировался популярными защитными программами.

С новой версией Bugat у защитного софта могут быть проблемы — сообщают, что код новой версии отличается от старой. К тому же, по сведениям Trusteer, во время недавней фишинговой кампании, когда мишенью стали пользователи социальной сети LinkedIn, применялась именно новая версия Bugat, а не ZeuS, как принято считать.

На уровне кода, по мнению Trusteer, Bugat похож по функциональности на вредоносы ZeuS, Clampi и Gozi. Также, сообщается, что Bugat избирательно поражает браузеры Internet Explorer и Firefox browsers, собирая информацию во время пользования банковскими сервисами.

Bugat пока в 3 раза более распространен в США, чем в Европе; общее количество обнаруженных вредоносов пока невелико.




источник:
bezpeka.com
@ fox68
14 октября 2010, 01:32 | |  
Аватар пользователя fox68
карма: +38.86
комментариев: 32
новостей: 3
группа: Посетители
Синонимы:
— Backdoor.Win32.IRCNite.jg (Kaspersky)
— Trojan.Zbot (Symantec)

При выполнении, TrojanDownloader: Win32/Carberp.A копирует себя в следующие места:
C:\Documents и Settings\Администратор\Local Settings\Temp\11.tmp
C:\Documents и Settings\Администратор\Главное меню\Программы\Автозагрузка\msconfig32.exe

Вредоносный код создает следующие файлы на зараженном компьютере:
C:\Documents и Settings\Администратор\Local Settings\Temp\10.tmp
C:\Documents и Settings\Администратор\Local Settings\Temp\12.tmp
C:\Documents и Settings\Администратор\Local Settings\Temp\13.tmp
C:\Documents и Settings\Администратор\Local Settings\Temp\14.tmp
C:\Documents и Settings\Администратор\Local Settings\Temp\15.tmp
C:\Documents и Settings\Администратор\Local Settings\Temp\16.tmp
C:\Documents и Settings\Администратор\Local Settings\Temp\17.tmp
C:\Documents и Settings\Администратор\Local Settings\Temp\e.tmp
C:\Documents и Settings\Администратор\Local Settings\Temp\f.tmp

Вредоносный код использует инъекции для того, чтобы препятствовать обнаружению и удалению. Когда TrojanDownloader: Win32/Carberp.A выполняется, он может внедрить код в запущенных процессах, включая следующие, например: explorer.exe.

TrojanDownloader: Win32/Carberp.A может связаться с удаленного хоста на iliked.org через порт 80. Как правило, вредоносный код может связаться с удаленного хоста для следующих целей:
— Чтобы сообщить о новой инфекции его автору.
— Для получения конфигурации или других данных.
— Чтобы загрузить и выполнить произвольные файлы (в том числе обновлений или дополнительных вредоносных программ).
— Для получения инструкций от удаленного злоумышленника.
— Для загрузки данных, взятых из пораженного компьютера.

Поэтому еще раз хочу напомнить об элементарных действиях для предотвращения заражения вашего компьютера:
— Включите брандмауэр на вашем компьютере.
— Загрузите последние версии обновлений для всех установленных программ.
— Используйте последнюю версию антивирусного программного обеспечения.
— Ограничить привилегии на компьютере.
— Соблюдайте осторожность при открытии вложений и принятии передачи файлов.
— Соблюдайте осторожность при переходе по ссылкам на веб-страницы.
— Избегайте загрузки пиратского программного обеспечения.
— Защитите себя от атак социальной инженерии.
— Используйте надежные пароли.

Вот вкратце небольшие практические советы. Осторожности и удачи.
@ Administrator
14 октября 2010, 05:02 | |  
Аватар пользователя Administrator
карма: +4675.426
комментариев: 239
новостей: 1005
группа: SysOp
fox68,
Спасибо большое за столь полезный комментарий. Как правило, такие комментарии можно добавить и как отдельные посты, тем самым позволяя пользователям быстрее найти нужную информацию.
@ fox68
15 октября 2010, 02:00 | |  
Аватар пользователя fox68
карма: +38.86
комментариев: 32
новостей: 3
группа: Посетители
Понял,спасибо.
Обязательно учту в дальнейшем. yes
@ astra931
19 октября 2011, 17:57 | |  
Аватар пользователя astra931
карма:
комментариев: 0
новостей: 0
группа: Гости
Если вы обнаружили у себя эту гадость, а именно процесс svchost, запущенный от имени пользователя и жрущий 100% процессора, то вам сюда: http://www.onlinepcsavior.com/remove-trojandownloa
derwin32carberp-c-malwareremoval-tutorials/
Нам помогло.

Более подробно о заразе тут:
http://www.threatexpert.com/report.aspx?md5=b75210
7784b1416cd61f88562eaa20f0
Обратная связь

Информация


Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.