Методы обнаружения вирусов

Trojan.Win32.Jorik.Carberp.jt

Время детектирования 22 сен 2011 17:02 MSK
Время выпуска обновления 22 сен 2011 19:22 MSK
Описание опубликовано 05 мар 2012 18:14 MSK

Технические детали
Деструктивная активность

Технические детали

Trojan-Spy.Win32.Carberp обладает функционалом, позволяющим скрытно от пользователя похищать конфиденциальную пользовательскую информацию и предоставлять удаленный доступ к компьютеру.

Проникновение в систему

Распространяется Carberp с сайтов различной тематики с помощью наборов эксплойтов, например BlackHole, нацеленных на продукты Adobe и Oracle Java.

В настоящий момент наибольшее число установок зафиксировано через уязвимость CVE-2011-3544 в Java, описанную в блоге.

Инсталляция

После запуска программа копирует свое тело в каталог автозагрузки текущего пользователя Windows: Английская версия Windows:

%UserProfile%\Start Menu\Programs\Startup\<rnd>.exe
Русская версия Windows:
%UserProfile%\Главное меню\Программы\Автозагрузка\<rnd>.exe
Таким образом, копия программы будет автоматически запускаться при каждом следующем старте системы.

Исходный файл программы после этого удаляется.


Деструктивная активность

  • Программа создает процесс "explorer.exe", а также несколько экземпляров процесса "svchost.exe", в которые внедряет свой код. Она скрывает присутствие своего исполняемого файла в системе, а также препятствует его удалению.
  • Устанавливается соединение с удаленным управляющим сервером, от которого передаются команды, позволяющие удаленно управлять зараженным компьютером.
  • Программа способна обнаруживать в системе окна и файлы, принадлежащие программам клиентов банков, для отслеживания вводимой информации (логин, пароль и т.д.), а также обнаруживать файлы-платежки.
  • Полученные данные упаковывает в архив, после чего отправляет злоумышленнику.

Кроме этого, программа способна:

  • собирать информацию о зараженной системе: ­
    • имя пользователя и имя компьютера;
    • информация об аппаратном обеспечении компьютера; ­
    • версия ОС;
    • сетевой(IP) адрес; ­
    • список запущенных процессов в системе.
  • перехватывать весь исходящий трафик с целью хищения конфиденциальных данных пользователя;
  • внедрять код на стороне пользователя в загруженные браузером HTML-страницы для подмены текстовых данных;
  • удалять файлы cookies;
  • похищать файлы cookies, удалять их;
  • делать снимки экрана;
  • вести лог клавиатурного ввода;
  • выполнять поиск и копирование цифровых сертификатов на сменных носителях;
  • производить аварийное завершение и отказ в работе операционной системы.

География угрозы

Вредоносное ПО Carberp наиболее распространено в России и странах СНГ и направлено на пользователей отечественных платежных систем и клиентов отечественных банков.

pic1 Кол-во заражений по странам за последние полгода

Как обнаружить заражение

Если на компьютере не установлен антивирус, наличие Trojan-Spy.Win32.Carberp можно обнаружить по следующим косвенным признакам:

ГЛАВНЫЙ:

  1. Начали пропадать деньги со счета.

Возможно, что на машине работает вредоносное ПО для воровства и подмены банковских данных.

ВТОРОСТЕПЕННЫЕ:

  1. Проверить наличие скрытых файлов в папке Автозагрузки с помощью альтернативных файловых менеджеров, кроме explorer.exe (например, Far, Total Uninstall):
    %UserProfile%\StartMenu\Programs\Startup\<rnd>.exe. 
    pic2

    Текущие версии Carberp перехватывают функции работы с файловой системой в процессе explorer.exe, поэтому файл не будет виден через Проводник Windows.

  2. С помощью бесплатных программ-антируткитов GMER или RootkitUnhooker можно обнаружить наличие перехватов функций от Carberp: pic3
  3. С помощью ProcessExplorer проверить все процессы svchost.exe.

У легальных svchost.exe родительским процессом будет services.exe. Кроме того в них подгружены легальные сервисы, которые отображаются в PE наведением курсора мыши на процесс svchost.

pic4

либо правым кликом на процесс svchost, далее во вкладке Services.

pic5

У svchost сомнительного происхождения сервисы отображаться не будут:

pic6 pic7
НОВОЕ НА САЙТЕ

25 марта 2024 годы

С 1 апреля текущего годы «Доктор Веб» обновляет цена лицензий на употребление ряда программных продуктов Dr.Web для индивидуального употребления эдак как для бизнеса эдак как госучреждений. помимо того, вводятся некие перемены в правилах лицензирования.

Так, будут повышены цены на Dr.Web Security Space для обороны 1... Антивирус Dr.Web

22 марта 2024 года

Комплексное решение для обороны любых объектов корпоративной сети, испытания почтового так что интернет-трафиков Dr.Web Enterprise Security Suite прошло инспекционный контроль ФСТЭК России.

Успешное прохождение испытаний доказано сертификатом соответствия №3509, реальным перед началом 27 января 2029 года.

С мо... Антивирус Dr.Web

Скачать в PDF Горячая лента угроз и предупреждений о вирусной опасности!

Скачать в PDF Вирусные новости

6 марта 2024 года

«Доктор Веб» информирует о масштабном обновлении продуктов Dr.Web 12.0 так что 13.0 с централизованным управлением для бизнеса, а уж а а также продукта для обороны АСУ ТП Dr.Web Industrial.Теперь системным админам доступны новейшие способности управления системой защиты, в то период как-либо выявленные ошибки были исправлены.... Антивирус Dr.Web