Carberp

отредактировано October 2012 Раздел: Вирусы & Антивирусы
Win32/Carberp это семейство троянских программ, которые могут быть установлены с помощью вредоносного кода, например, путем Exploit: JS / Blacole. Троянец скачивает другие компоненты Win32/Carberp для выполнения полезного кода, такие как кража онлайн банк прав доступа и журналов из различных приложений, загрузки и выполнения произвольных файлов, экспорт установленных сертификатов, захвата снимков экрана и регистрация нажатий клавиш....

http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32/Carberp
+ еще
Аналитический отчет по Carberp от ESET RUSSIA
+ еще
Эволюция Carberp (английская редакция аналитического отчета)
--------------
uVS одним из первых начал детектировать варианты Carberp, использующие сплайсинг для сокрытия в системе.
Полное имя                  C:\DOCUMENTS AND SETTINGS\TOTTA\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ZDPRXHSEJXY.EXE
Имя файла ZDPRXHSEJXY.EXE
Тек. статус ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске

www.virustotal.com 2012-05-11 [2012-02-02 08:45:06 UTC ( 8 months, 1 week ago )]
NOD32 Win32/TrojanDownloader.Carberp.AH
Symantec Trojan.Gen
Avast Win32:Injector-AJI [Trj]
Kaspersky Trojan-Spy.Win32.Carberp.dfr
BitDefender Trojan.Downloader.Carberp.Z
DrWeb Trojan.Carberp.29
AntiVir TR/Dldr.Carberp.Z.2
Microsoft Trojan:Win32/Carberp.H

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер 180224 байт
Создан 15.04.2008 в 17:00:00
Изменен 15.04.2008 в 17:00:00
Атрибуты СИСТЕМНЫЙ R/O
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Оригинальное имя jkPeGCV6ksDrX
Версия файла mLjtDkmf4
Описание yLND20FGL
Производитель LqzOHMIIgFrY

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Атрибут файла "Скрытый" или "Системный" [типично для вирусов]

Доп. информация на момент обновления списка
SHA1 571482B14D23B65D1A89F88FB32C055F3D1B5022
MD5 63C1EE083093BCFC10607BBBF5328D7F

Ссылки на объект
Ссылка C:\DOCUMENTS AND SETTINGS\TOTTA\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА

В некоторых случаях, для детектирования Carberp в uVS необходим образ автозапуска, полученный в безопасном режиме системы [safe mode]

бутовый вариант Carberp детектируется в uVS в секции "загрузчики".
Полное имя                  IPL NTFS [C:]
Имя файла IPL NTFS [C:]
Тек. статус ?ВИРУС? ВИРУС загрузчик

www.virustotal.com 2012-10-08 [2012-10-08 16:22:18 UTC ( 2 minutes ago )]
BitDefender Rootkit.MBR.Mayachok.B
AntiVir BOO/Cidox.A

Сохраненная информация на момент создания образа
Статус загрузчик
Размер 7680 байт

Доп. информация на момент обновления списка
SHA1 10CA1D4ED5CA450EF4F583D2CA0FF68A87AD98FD
Варианты с самозащитой от перезаписи можно пролечить либо с помощью Winpe&uVS, либо антируткитными утилитами, например, tdsskiller, из активной системы.
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.