Carberp

safetysafety
отредактировано October 2012 Раздел: Вирусы & Антивирусы
Win32/Carberp это семейство троянских программ, которые могут быть установлены с помощью вредоносного кода, например, путем Exploit: JS / Blacole. Троянец скачивает другие компоненты Win32/Carberp для выполнения полезного кода, такие как кража онлайн банк прав доступа и журналов из различных приложений, загрузки и выполнения произвольных файлов, экспорт установленных сертификатов, захвата снимков экрана и регистрация нажатий клавиш....

http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32/Carberp
+ еще
Аналитический отчет по Carberp от ESET RUSSIA
+ еще
Эволюция Carberp (английская редакция аналитического отчета)
--------------
uVS одним из первых начал детектировать варианты Carberp, использующие сплайсинг для сокрытия в системе. 
Полное имя                  C:\DOCUMENTS AND SETTINGS\TOTTA\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ZDPRXHSEJXY.EXE
Имя файла                   ZDPRXHSEJXY.EXE
Тек. статус                 ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске 

www.virustotal.com          2012-05-11 [2012-02-02 08:45:06 UTC ( 8 months, 1 week ago )]
NOD32                       Win32/TrojanDownloader.Carberp.AH
Symantec                    Trojan.Gen
Avast                       Win32:Injector-AJI [Trj]
Kaspersky                   Trojan-Spy.Win32.Carberp.dfr
BitDefender                 Trojan.Downloader.Carberp.Z
DrWeb                       Trojan.Carberp.29
AntiVir                     TR/Dldr.Carberp.Z.2
Microsoft                   Trojan:Win32/Carberp.H

Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске 
Размер                      180224 байт
Создан                      15.04.2008 в 17:00:00
Изменен                     15.04.2008 в 17:00:00
Атрибуты                    СИСТЕМНЫЙ  R/O  
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить

Оригинальное имя            jkPeGCV6ksDrX
Версия файла                mLjtDkmf4
Описание                    yLND20FGL
Производитель               LqzOHMIIgFrY

Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Атрибут файла               "Скрытый" или "Системный" [типично для вирусов]

Доп. информация             на момент обновления списка
SHA1                        571482B14D23B65D1A89F88FB32C055F3D1B5022
MD5                         63C1EE083093BCFC10607BBBF5328D7F

Ссылки на объект            
Ссылка                      C:\DOCUMENTS AND SETTINGS\TOTTA\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА

В некоторых случаях, для детектирования Carberp в uVS необходим образ автозапуска, полученный в безопасном режиме системы [safe mode]

бутовый вариант Carberp детектируется в uVS в секции "загрузчики". 
Полное имя                  IPL NTFS [C:]
Имя файла                   IPL NTFS [C:]
Тек. статус                 ?ВИРУС? ВИРУС загрузчик 

www.virustotal.com          2012-10-08 [2012-10-08 16:22:18 UTC ( 2 minutes ago )]
BitDefender                 Rootkit.MBR.Mayachok.B
AntiVir                     BOO/Cidox.A

Сохраненная информация      на момент создания образа
Статус                      загрузчик 
Размер                      7680 байт

Доп. информация             на момент обновления списка
SHA1                        10CA1D4ED5CA450EF4F583D2CA0FF68A87AD98FD
Варианты с самозащитой от перезаписи можно пролечить либо с помощью Winpe&uVS, либо антируткитными утилитами, например, tdsskiller, из активной системы.
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Share on Google+
Войдите или Зарегистрируйтесь чтобы комментировать.