Carberp.C trójai

CH azonosító

Angol cím

Felfedezés dátuma

Súlyosság

Érintett rendszerek

Érintett verziók

Windows XP
Windows 7
Windows Vista
Windows NT
Windows Server 2003
Windows 2000

Összefoglaló

A Carberp.C trójai moduláris felépítésű, aminek révén a funkcionalitása rendszeresen bővülhet, és a célkeresztbe állított rendszereknek megfelelően változhat. Alapvetően azonban rendszerinformációk, illetve bizalmas adatok kiszivárogtatására alkalmas. A kártékony program meglehetősen alaposan feltérképezi a fájlrendszert, a folyamatokat, valamint a legfontosabb rendszerbeállításokat. Az így szerzett adatokat pedig feltölti a terjesztői által üzemeltetett vezérlőszerverekre.

A Carberp.C pluginekkel bővíthető. Ezeket a trójai az internetről szerzi be, és .dat kiterjesztésű állományok formájában menti le a számítógépekre. A kiegészítők révén egyebek mellett képessé válik arra, hogy az adatlopási tevékenységébe webböngészőket is bevonjon. A károkozó jelenleg a Chrome, az Internet Explorer, a FireFox és az Opera alkalmazásokkal kompatibilis.

Leírás

1. Létrehozza a következő állományokat:
%Temp%tmp[véletlenszerű karakterek].tmp
%Temp%NTFS.sys
2. Létrehozza az alábbi mappát:
%UserName%Application DataMicrosoftCryptoRSAKEYS
4. Mutexek révén gondoskodik arról, hogy egyszerre csak egy példányban fusson.
5. Csatlakozik előre meghatározott távoli kiszolgálókhoz. Ekkor egy beépített algoritmus segítségével domain neveket generál.
6. Fájlokat tölt le a %Temp% mappába.
7. Adatokat szivárogtat ki a fájlrendszerrel, a folyamatokkal és a legfontosabb rendszerbeállításokkal kapcsolatban
8. Különféle kiegészítőket tölt le az alábbiak szerint:
host.dat
update.dat
[…]_32.dat
[…]_64.dat
list32.dat
list64.dat
9. Az adatlopáshoz felhasználja a Chrome, az Internet Explorer, a FireFox és az Opera webböngészőket is.

Megoldás

Támadás típusa

Szükséges hozzáférés

Hivatkozások

Egyéb referencia: www.isbk.hu
Egyéb referencia: www.symantec.com