Security Lab

Trojan.Win32.Jorik.Carberp.hb

Trojan.Win32.Jorik.Carberp.hb

Программа-шпион, предназначенная для похищения конфиденциальных данных пользователя.

Технические детали

Программа-шпион, предназначенная для похищения конфиденциальных данных пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 233867 байт. Упакована неизвестным упаковщиком. Распакованный размер — около 242 КБ. Написана на C++.

Инсталляция

После активации троянец снимает установленные перехватчики в System Service Descriptor Table (SSDT) .

Далее копирует свое тело в каталог автозагрузки текущего пользователя Windows:

%Documents and Settings%\%Current User%\Start Menu\Programs\Startup\igfxtray.exe  
Таким образом, копия троянца будет автоматически запускаться при каждом следующем старте системы.

Время и дата создания файла устанавливается как у файла:

%System%\smss.exe
Для скрытия своего исполняемого файла, троянец перехватывает функцию:
NtQueryDirectoryFile

Деструктивная активность

Троянец запускает копию системного файла:

%WinDir%\explorer.exe
и внедряет в его адресное пространство вредоносный код. Если внедрить вредоносный код не удалось, ищет окно с именем класса "Shell_TrayWnd" (данный класс окна соответствует процессу "explorer.exe") или получает список всех процессов и сравнивает хеши имен процессов с хешом процесса "explorer.exe", прописанным в теле троянца.

Внедренный код, в свою очередь, запускает несколько экземпляров процесса "svchost.exe", внедряя в его адресное пространство вредоносный код реализующий описанный ниже функционал. Оригинальный файл троянца при этом удаляется.

Для внедрения вредоносного кода в адресное пространство запускаемых процессов в системе устанавливает перехватчик на следующую функцию:

NtResumeThread
Троянец держит открытый хэндл на исполняемый файл:
%Documents and Settings%\%Current User%\Start Menu\Programs\Startup\igfxtray.exe  
из процесса "svchost.exe", в который был инжектирован вредоносный код. Троянец соединяется со следующим управляющим сервером злоумышленника:
wwwii.ru
Для противодействия антивирусным продуктам и бот-сетям конкурентов троянец загружает с сервера следующие плагины:
wwwii.ru/cfg/stopav.psd  wwwii.ru/cfg/miniav.psd  
Загруженные плагины сохраняются под следующими именами:
%Documents and Settings%\%Current User%\%ApplicationData%\igfxtray.dat  %Documents and Settings%\%Current User%\%ApplicationData%\igfxtrayhp.dat  
Также с управляющего сервера загружаются дополнительные файлы:
wwwii.ru/get/key.html  wwwii.ru/<rnd1>.<rnd2>   
где <rnd1> - случайная последовательность букв, например "qlfuhdisozhblucrrm" или "yojxmoixqogbprreocmbv". <rnd2>- одно из следующих расширений:
.phtml  .php3  .phtm  .inc  .7z  .cgi  .pl  .doc  .rtf  .tpl  .rar  
Загруженные файлы сохраняются под именем "fi.dat":
%Documents and Settings%\%Current User%\%ApplicationData%\KYL\fi.dat
На момент создания описания дополнительные модули не загружались. При помощи вредоносного кода внедренного в адресное пространство копий процесса"svchost.exe"троянец может выполнять следующий деструктивный функционал:
  • обновлять свой оригинальный файл;
  • перехватывать весь исходящий трафик с целью похищения конфиденциальных данных пользователя, устанавливая системные перехватчики на следующие функции:
    InternetCloseHandle  InternetQueryDataAvailable  InternetReadFile  InternetReadFileExA  InternetReadFileExW  HttpSendRequestA  HttpSendRequestW  HttpSendRequestExA  HttpSendRequestExW  
  • собирать информацию о зараженной системе:
    • имя пользователя и имя компьютера;
    • полную информацию об установленном процессоре;
    • профиль оборудования;
    • версию ОС;
    • серийный номер тома системного диска;
    • IP адрес;
    • физический адрес.
  • похищать cookies из браузеров:
    Microsoft Internet Explorer  Opera  Firefox  
  • похищать конфиденциальные данные пользователя если ресурс, с которым работает пользователь содержит следующие строки:
    *bsi.dll*  *paypal.com*  *ibc*  
  • делать снимки экрана, во время работы с Интернет-банкингом, используя свою внутреннюю библиотеку. При этом готовый снимок сжимается в формате "JPEG" и сохраняется в каталоге временных файлов текущего пользователя Windows под именем временного файла:
    %Temp%\<tmp>.tmp
    где <tmp>-случайная цифробуквенная последовательность. После чего файл сохраняется под именем "screen.jpeg":
    %Temp%\screen.jpeg
  • вести лог клавиатурного ввода;
  • похищает данные из платежной системы Cyberplat;
  • похищает реквизиты пользователей от систем Интернет-банкинга, торговых платформ и ДБО (Дистанционное банковское обслуживание):
    РайффайзенБанк  Faktura  iBank  PSB  BSS  cyberplat  BlackwoodPRO  FinamDirect  GrayBox  MbtPRO  Laser  LightSpeed  LTGroup  Mbt  ScotTrader  SaxoTrader  
    также похищает комплект информации, состоящий из следующих ключевых файлов:
    self.cer  secrets.key  cert.pfx  sign.cer  prv_key.pfx  
    Похищенная информация сохраняется в файле:
    %Temp%\<tmp>.tmp
    где <tmp>-случайная цифробуквенная последовательность. после чего записывается в файл:
    %Temp%\Information.txt
    файл отчета имеет следующий формат:
    Program: <имя_программы>  Wnd Name: <имя_активного_окна>  Server: <адрес>:<порт>  Password: <пароль>  Certificate: <сертификат>  ClipBuffer: <история_вводимых_пользователем_символов>  
    Используя функции из библиотеки "cabinet.dll", троянец создает cab–архив, с именем
    %Temp%\CAB<tmp>.tmp
    где <tmp>-случайная цифробуквенная последовательность. в котором сохраняет файлы с похищенными данными. Затем троянец зашифровывает файл и отправляет на сервер злоумышленника. После отправки данных файл удаляется.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Перезагрузить компьютер в "безопасном режиме" (в самом начале загрузки нажать и удерживать клавишу "F8", затем выбрать пункт "Safe Mode" в меню загрузки Windows).
  2. Удалить файлы:
    Documents and Settings%\%Current User%\Start Menu\Programs\Startup\igfxtray.exe  %Documents and Settings%\%Current User%\%ApplicationData%\igfxtray.dat  %Documents and Settings%\%Current User%\%ApplicationData%\igfxtrayhp.dat  %Documents and Settings%\%Current User%\%ApplicationData%\KYL\fi.dat  
  3. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы.

Alert! Зафиксирована утечка экспертных знаний!

Собираем и анализируем опыт профессионалов ИБ

Подключитесь к потоку конфиденциальной информации!