Security Lab

Trojan-Spy.Win32.Carberp.adw

Trojan-Spy.Win32.Carberp.adw

Программа-шпион, предназначенная для похищения конфиденциальных данных пользователя.

Технические детали

Программа-шпион, предназначенная для похищения конфиденциальных данных пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 120359 байт. Упакована неизвестным упаковщиком. Распакованный размер — около 133 КБ. Написана на C++.

Инсталляция

Создает копию своего файла со случайным именем в каталоге автозапуска Windows:

%UserProfile%\Start Menu\Programs\Startup\<rnd>.exe
<rnd> - набор из букв латинского алфавита и цифр, например, "3iik3ug9". Своей копии троянец устанавливает атрибуты "системный" и "архивный".

Деструктивная активность

Троянец запускает легитимные файлы "explorer.exe" и "svchost.exe", после этого внедряет в них свой вредоносный код. При этом троянец модифицирует код легитимных файлов таким образом, что они будут запускать на исполнение внедренный вредоносный код.

Далее троянец удаляет свое оригинальное тело.

Вредоносный код внедренный в процессы выполняет соединение с сервером злоумышленника:

76.76.***.2  123ge***rs.org  Getl***an.org  Gerc***z.org  
и ожидает команды. По команде злоумышленника вредоносный код может:
  • Загружать и запускать на исполнение другие вредоносные файлы или свою обновленную версию;
  • Получать другие адреса для соединения с сервером злоумышленника;
  • Нарушить работу операционной системы путем удаления или перезаписи критически важных системных файлов;
  • Протоколировать нажимаемые пользователем клавиши клавиатуры;
  • Отслеживать сетевой трафик компьютера пользователя;
  • Сохранять снимки рабочего стола пользователя;
  • Собирать информацию о компьютере пользователя и установленном программном обеспечении.
  • Предоставлять доступ злоумышленника через удаленный рачий стол.
Собранные данные троянец может отсылать на сервера злоумышленника.

На момент создания описания троянец загружал свой обновленный файл размером 199168 байт; MD5: 85e054bc0e5b8fc2b908e4879d1dfa9; детектируется Антивирусом Касперского как Net-Worm.Win32.Koobface.jfw.


Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Выполнить загрузку Windows в "Безопасном режиме"
  2. Удалить вредоносные файлы из каталога автозагрузки:
    %UserProfile%\Start Menu\Programs\Startup\<rnd>.exe
  3. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы:
    %Temporary Internet Files%

SOC как супергерой: не спит, не ест, следит за безопасностью!

И мы тоже не спим, чтобы держать вас в курсе всех угроз

Подключитесь к экспертному сообществу!