Mindent pusztít a Carberp trójai

A Carberp trójai készítői egy nagyon összetett és komplex kártékony programot hoztak létre, amely számtalan nemkívánatos tevékenység végrehajtására képes. Ezek közül mindenképpen kiemelkedik az adatlopás, melynek során FTP-jelszavakat, webes szolgáltatásokhoz és postafiókokhoz tartozó hitelesítési információkat valamint banki alkalmazások esetében használt bejelentkezési adatokat gyűjt össze, majd szivárogtat ki a terjesztői számára. A jelenlegi variánsai az Internet Explorer valamint a Firefox folyamatos monitorozására alkalmasak.

Az Isidor Biztonsági Központ jelentése szerint a Carberp különböző komponensek (plugin-ek) letöltésével fokozza a képességeit. Ezek révén például alkalmassá válik arra, hogy bizonyos gyártóktól származó védelmi alkalmazásokat hatástalanítson, valamint a biztonsági frissítéseket letiltsa. Ezek mellett képes arra is, hogy egy hátsó kaput nyisson a fertőzött rendszereken, amelyen keresztül az alábbi tevékenységek elvégzésére vehető rá:
- saját állományainak, beállításainak frissítése
- fájlok letöltése és futtatása
- tanúsítványok kiexportálása
- cookie-k kezelése
- billentyűleütések naplózása
- bizalmas adatok és képernyőképek feltöltése egy szerverre.

A trójai további fontos jellemzője, hogy az Rbot, EyeStye és Zbot családokhoz tartozó kártékony programokkal nem fér össze, ezért azokat megpróbálja eltávolítani a rendszerekről.

Amikor a Carberp trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományt:
%USERPROFILE%/Start Menu/Programs/Startup/[véletlenszerű fájlnév.exe]

2. Megfertőzi az explorer.exe folyamatot, és Windows API-kal manipulál.

3. Különböző plugin-eket tölt le egy távoli szerverről. Ezek révén jelszólopásra, biztonsági alkalmazások leállítására és egyéb károkozók eltávolítására válik képessé.

4. FTP-jelszavakat gyűjt össze többek között az alábbi alkalmazásokból:
Windows Commander
Total Commander
FileZilla
FTP Commander
CuteFTP
FlashFXP
SmartFTP
CoffeeCup
CoreFTP
WinSCP
WS FTP
Far Manager FTP

5. Összegyűjti a Windows által elmentett vagy cache-elt jelszavakat.

6. Hitelesítési információkat próbál kinyerni webes alkalmazásokhoz, szolgáltatásokhoz és postafiókokhoz. Ezek közé tartozik például a:
Google Talk
Miranda ICQ
Yahoo Messenger
Outlook
Jabber
AOL Instant Messenger
Incredi Mail
Eudora
The Bat!
Windows Mail
Internet Explorer
Safari
Firefox
Chrome
Opera

7. Megpróbálja hatástalanítani a védelmi szoftvereket, és leállítja a biztonsági frissítéseket. Az alábbi gyártók védelmi eszközeit igyekszik megbénítani:
ArcaVir
Avast
AVG
Avira
BitDefender
DrWeb
ESET NOD32
ESET Smart Security
McAfee
Microsoft
Sophos

8. Megpróbálja kihasználni a Microsoft MS08-025-ös biztonsági közleményében ismertetett sebezhetőséget.

9. Amennyiben az alábbi károkozók valamelyike megtalálható a számítógépen, akkor eltávolítja azt:
Win32/Rbot
Win32/EyeStye
Win32/Zbot

10. Webes banki szolgáltatásokhoz tartozó adatokat gyűjt össze. Ennek érdekében folyamatosan monitorozza az Internet Explorert és a Firefox böngészőt. Elsősorban orosz bankok weblapjain megadott adatokra figyel.

11. Az összegyűjtött információkat feltölti egy távoli szerverre.

12. Csatlakozik egy távoli szerverhez, amelyről parancsokat fogad.

13. Nyit egy hátsó kaput a rendszereken.