Laatste nieuws

BitDefender®, uitgeversmaatschappij van vernieuwende veiligheidsoplossingen voor internet, kondigt de beschikbaarheid aan van een gratis desinfectiemiddel tegen  Trojan.Downloader.Carberp.A.

 

Trojan.Downloader.Carberp.A, gebaseerd op de technologieën die aanwezig zijn in Zeus en de Braziliaanse Trojaanse paarden, heeft snel zijn plaats gevonden in de eerder exclusieve club van Trojaanse paarden in het bankwezen. Het onderschept, manipuleert en ontvreemdt vertrouwelijke informatie die een gebruiker zou kunnen verzenden of ontvangen op internet.

 

Trojan.Downloader.Carberp.A onderschept de inloggegevens van sites die de opening van een door SSL beveiligde sessie vereisen, of het nu om bankdiensten, webmails of andere diensten die een authenticatie vragen gaat. Trojan.Downloader.Carberp.A houdt eveneens toezicht op een lijst met websites die meerdere portals voor online bankdiensten bevatten.

"Zodra Trojan.Downloader.Carberp.A is uitgevoerd op de computer, maakt het meerdere tijdelijke bestanden aan in de map %temp%, voordat het zichzelf kopieert naar de map Start van Windows zodat het elke keer als de computer (opnieuw) wordt opgestart, wordt uitgevoerd," verklaart Catalin Cosoi, Directeur van de Laboratoria BitDefender die strijden tegen e-bedreigingen. "De techniek kan nog weinig ontwikkeld lijken in vergelijking met die, die wordt gebruikt door andere malwarefamilies die startingangen aan het Register toevoegen. Toch kan Trojan.Downloader.Carberp.A zichzelf hierdoor uitvoeren op de recentste besturingssystemen, of tijdens sessies van gebruikers die geen rechten als administrator hebben."

 

Vlak na de infectie maakt de downloader verbinding met een server. Van daaruit downloadt hij een gecodeerd configuratiebestand, evenals plugins om al het internetverkeer te onderscheppen en elk antivirusprogramma dat wordt gedetecteerd op de zojuist geïnfecteerde computer te deactiveren. Daarvoor in ruil stuurt Trojan.Downloader.Carberp.A de commandoserver een unieke identifier en draagt een lijst met processen die worden uitgevoerd over via een GET query.

Nadat het zichzelf heeft gekopieerd in de startmap onder de naam "syscron.exe" of "chkntfs.exe", verbergt het zijn aanwezigheid met behulp van hooks in ntdll.dll om elke oproep naar NtQueryDirectoryFile en ZwQueryDirectoryFile te onderscheppen. Daardoor wordt de gebruiker ervan verhinderd deze bestanden te zien met Windows® Explorer® of de online query met het commando  dir.

 

Catalin Cosoi vervolgt: "Telkens wanneer een gebruiker verbinding maakt met een sessie met SSL-authenticatie die toegang geeft tot online bankdiensten en accounts van sociale netwerken, ontvreemdt Trojan.Downloader.Carberp  de inloggegevens zelfs voordat ze worden gecodeerd en stuurt ze naar de server via HTTP. Op het moment dat het verzoek om verbinding de bank bereikt, zijn de inloggegevens helaas al in handen van de aanvallers."

Trojan.Downloader.Carberp.A richt zich eveneens op bepaalde banken in Duitsland, Denemarken, Nederland, de Verenigde Staten en Israël volgens de nauwkeurige indicaties die het ontvangt van de server met configuratie-instructies. Deze geraffineerde versie van inmiddels klassieke aanvallen vormt een winstgevend hulpmiddel bestemd voor het ontvreemden van geld aan gebruikers van online services en het midden- en kleinbedrijf.

 

Trojan.Downloader.Carberp.A kan zichzelf ook installeren zonder administratorrechten en systemen met de recentste besturingssystemen aanvallen. Het brengt geen enkele wijziging aan in het Register of in de kritieke zones van het besturingssysteem.

 

De gebruikers van BitDefender genieten vanaf de verschijning van deze bedreiging al bescherming via de generieke routines die al zijn geïntegreerd in de database met handtekeningen. Degenen die niet worden beschermd door een product van BitDefender kunnen een gratis hulpmiddel voor desinfectie downloaden in de sectie Downloads van MalwareCity.fr.