Carberp.C trójai
Angol cím: 
Trojan.Carberp.C
CERT-Hungary ID: 
CH-11904
Felfedezés dátuma: 
2015-01-05
Összefoglaló: 

A Carberp.C trójai moduláris felépítésű, aminek révén a funkcionalitása rendszeresen bővülhet, és a célkeresztbe állított rendszereknek megfelelően változhat. Alapvetően azonban rendszerinformációk, illetve bizalmas adatok kiszivárogtatására alkalmas. A kártékony program meglehetősen alaposan feltérképezi a fájlrendszert, a folyamatokat, valamint a legfontosabb rendszerbeállításokat. Az így szerzett adatokat pedig feltölti a terjesztői által üzemeltetett vezérlőszerverekre.

A Carberp.C pluginekkel bővíthető. Ezeket a trójai az internetről szerzi be, és .dat kiterjesztésű állományok formájában menti le a számítógépekre. A kiegészítők révén egyebek mellett képessé válik arra, hogy az adatlopási tevékenységébe webböngészőket is bevonjon. A károkozó jelenleg a Chrome, az Internet Explorer, a FireFox és az Opera alkalmazásokkal kompatibilis.

Leírás: 

1. Létrehozza a következő állományokat:
%Temp%\tmp[véletlenszerű karakterek].tmp
%Temp%\NTFS.sys
2. Létrehozza az alábbi mappát:
%UserName%\Application Data\Microsoft\Crypto\RSA\KEYS
4. Mutexek révén gondoskodik arról, hogy egyszerre csak egy példányban fusson.
5. Csatlakozik előre meghatározott távoli kiszolgálókhoz. Ekkor egy beépített algoritmus segítségével domain neveket generál.
6. Fájlokat tölt le a %Temp% mappába.
7. Adatokat szivárogtat ki a fájlrendszerrel, a folyamatokkal és a legfontosabb rendszerbeállításokkal kapcsolatban
8. Különféle kiegészítőket tölt le az alábbiak szerint:
host.dat
update.dat
[...]_32.dat
[...]_64.dat
list32.dat
list64.dat
9. Az adatlopáshoz felhasználja a Chrome, az Internet Explorer, a FireFox és az Opera webböngészőket is.

Megoldás: 

Használjon vírusvédelmi programot és tűzfalat, illetve rendszeresen frissítse azokat.

Érintett verziók: 
Windows XP
Windows 7
Windows Vista
Windows NT
Windows Server 2003
Windows 2000