Security Lab

Trojan-Spy.Win32.Carberp.acb

Trojan-Spy.Win32.Carberp.acb

Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине.

Технические детали

Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE-EXE файл). Имеет размер 131072 байта. Написана на Delphi.

Инсталляция

После запуска вредонос копирует свое тело в каталог Автозагрузка текущего пользователя, обеспечивая себе возможность автоматически запускаться при каждом следующем старте системы. Копия создается со случайным именем:

%USERPROFILE%\Start Menu\Programs\Startup\<rnd>.exe  
где <rnd> – случайная последовательность цифр и латинских букв, к примеру: "ac5dt69pyzi".

Затем вредонос запускает экземпляр системного процесса "EXPLORER.EXE" и внедряет в его адресное пространство исполняемый код, реализующий весь деструктивный функционал.


Деструктивная активность

Подгруженный в процесс "EXPLORER.EXE" код в свою очередь запускает несколько экземпляров системного процесса "SVCHOST.EXE" и внедряет в их адресное пространство код, реализующий функционал бэкдора, и выполняющий следующие действия:

  • удаляет оригинальный файл вредоноса;
  • скрывает ранее созданную копию в каталоге Автозагрузка;
  • устанавливает соединение с серверами злоумышленника для получения команд.

В зависимости от полученных команд, бэкдор может выполнять следующие действия:

  • обновлять свой оригинальный файл, загружая обновление с сервера злоумышленника;
  • загружать на зараженный компьютер другие файлы;
  • отслеживать сетевой трафик системы с целью похищения конфиденциальных данных пользователя;
  • собирать информацию о зараженной системе;
  • отслеживать клавиатурный ввод пользователя;
  • отсылать собранную информацию на сервер злоумышленника.
В ходе своей работы бэкдор подключается к следующим серверам:
Ge***san.org  e6***uf.in  me***i38.com  123***ors.org  
На момент создания описания вредонос загружал обновление своего исполняемого файла. Был загружен файл размером 106560 байт;

MD5: 9F550CF8173CED2F375B15452886AE32,
SHA1: CD32190F5F09D7E7A514D5FED896C77AFDAC3866;

детектируется Антивирусом Касперского как "Trojan.Win32.Agent.nijw".

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Перезагрузить компьютер в «безопасном режиме» (в самом начале загрузки нажать и удерживать клавишу «F8», затем выбрать пункт «Safe Mode» в меню загрузки Windows).
  2. Удалить файл:
    %USERPROFILE%\Start Menu\Programs\Startup\<rnd>.exe
  3. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы.

Наш канал защищен лучше, чем ваш компьютер!

Но доступ к знаниям открыт для всех

Получите root-права на безопасность — подпишитесь