Novi rival Trojancu Zeus – moćni “pljačkaš” Carberp Trojan

Opisi virusa, 13.10.2010, 01:21 AM

Novi rival Trojancu Zeus – moćni “pljačkaš” Carberp Trojan

Pozicija ozloglašenog Trojanca Zeus mogla bi biti ozbiljno uzdrmana novom “zvezdom” u usponu, malicioznim programom koji je nepoznanica za četiri od šest proizvođača antivirusnog softvera ali je zato već omiljen među kriminalnim grupama koje prazne bankovne račune širom Evrope i Amerike.

Najnovija inkarnacija Trojanca Carberp koristi većinu trikova koje koristi i Zeus za pljačku bankovnih računa širom sveta, a pogađa najpopularnije operativne sisteme i browser-e, uključujući i Windows 7, Vista i XP, kao i browser-e Internet Explorer i Mozilla Firefox.

Ovaj malware pokušava da uništi ili bar onemogući konkurentske maliciozne programe, uključujući i Zeus, mada nije jasno da li je osposobljen i za njihovo uklanjanje sa zaraženog računara.

Kompanije koje proizvode antivirusni softver tek treba da se usaglase oko karakteristika ovog Trojanca. Neke od njih smatraju da je Carberp proistekao iz Zeus-a. Manje štetne varijante ovog Trojanca su već poznate, a radi se o downloader-ima malicioznih programa i generičkim Trojancima. Međutim, najnoviji predstavnik ove porodice je prvi program koji je potpuno osposobljen za krađu bankovnih naloga.

Stručnjaci procenjuju da se radi o vrlo sofisticiranom malicioznom programu koji se u budućnosti može raširiti koliko i Zeus Trojanac. Međutim, u ovom trenutku Zeus je mnogo rašireniji i zbog toga Carberp ostaje van domašaja radara i nepoznat je vodećim antivirusnim kompanijama.

Istraživači kompanije TrustDefender su detektovali najnoviju varijantu Carberp Trojanca pre tri meseca i sada je on predmet analize stručnjaka.

Carberp može preuzeti kontrolu nad dvostepenom autorizacijom koju koriste neke od najpoznatijih banaka u svetu, koristeći iste načine koje koriste konkurenti - Zeus, Gozi i Spyeye.

On se može instalirati na računaru bez administratorskih prava, zaobilazeći kontolne mehanizme za pristup Microsoft-ovih najnovijih operativnih sistema. Pored ovoga, zbog svoje retko viđene sposobnosti za preotimanje kontrole nad browser-om, on može prisvojiti kompletan internet saobraćaj, uključujući i HTTPS sa proširenom SSL proverom validnosti (Extended Validation (EV) SSL).

Carberp se može instalirati na računaru bez administratorskih privilegija ali samo kada je korisnik prijavljen (log-in). Trojanac, prema mišljenju stručnjaka, ne inficira kernel. Autorima malware-a je dovoljno da Trojanac boravi na zaraženom kompjuteru nekoliko dana, ukoliko obavi posao za koji je dizajniran.

Kako tvrde u TrustDefender-u, Carberp ne menja registry, nego samo pravi izmene u memoriji. Ukradene podatke treutno prosleđuje komandnom i kontrolnom serveru (C&C server).

Carberp automatski zahteva preuzimanje dodatnih fajlova. Najpre prosleđuje ID računara C&C serveru, zatim zahteva učitavanje svih aktivnih procesa, i potom odmah preuzima tri fajla.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver Emotet hakuje obližnje Wi-Fi mreže i inficira računare povezane na njih

Malver Emotet hakuje obližnje Wi-Fi mreže i inficira računare povezane na njih

Zloglasni trojanac Emotet koji stoji iza brojnih spam kampanja i napada ransomwarea, sada ima novi način napada: koristi već zaražene uređaje za ... Dalje

Ransomware koristi ranjivi Windows drajver da bi isključio antivirus na računaru

Ransomware koristi ranjivi Windows drajver da bi isključio antivirus na računaru

Kompanija Sophos upozorila je na napad ransomwarea u kome se koristi ranjivi drajver tajvanskog proizvođača matičnih ploča Gigabyte za upad u Wind... Dalje

Svaki deseti korisnik macOS-a je imao susret sa malverom Shlayer

Svaki deseti korisnik macOS-a je imao susret sa malverom Shlayer

Iako se macOS smatra relativno sigurnim operativnim sistemom, sajber kriminalci ne odustaju od pokušaja da profitiraju od korisnika macOS-a. Dobar pr... Dalje

Nova verzija ransomwarea FTCode krade lozinke iz Chromea i Firefoxa

Nova verzija ransomwarea FTCode krade lozinke iz Chromea i Firefoxa

Istraživači kompanije Zscaler otkrili su novu verziju FTCode ransomwarea, koja je detektovana kao 1117.1, za koju kažu da može da krade lozinke. F... Dalje

Ruski ransomware Zeppelin napada evropske i američke kompanije, upozoravaju istraživači

Ruski ransomware Zeppelin napada evropske i američke kompanije, upozoravaju istraživači

Nova verzija ransomwarea VegaLocker (Buran) nazvana Zeppelin trenutno inficira računare u američkim i evropskim kompanijama, upozoravaju istraživa... Dalje