Trojan-Spy.Win32.Carberp.us

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Вредоносная программа, предназначенная для похищения конфиденциальных данных пользователя. Является динамической библиотекой Windows (PE-DLL файл). Имеет размер 645120 байт. Написана на Delphi.

Деструктивная активность

Библиотека является компонентом комплекса вредоносных программ, предназначенных для сбора информации о зараженной системе, похищения конфиденциальной информации пользователя, а также удаленного управления системой.

Вредоносная библиотека регистрируется в системе при помощи утилиты "regsvr32.exe" либо же посредством вызова экспортируемой функции "DllRegisterServer". При этом в системном реестре создаются следующие ключи:

[HKCR\TypeLib\{B78CAD83-FD06-4B24-A3EF-9765A09A02BD}\1.0]
"(Default)" = "ActiveFormProj1 Library"

[RegSetValue    HKCR\TypeLib\{B78CAD83-FD06-4B24-A3EF-9765A09A02BD}\1.0\FLAGS]
"(Default)" = "2"

[HKCR\TypeLib\{B78CAD83-FD06-4B24-A3EF-9765A09A02BD}\1.0\0\win32]
"(Default)" = "<полный путь к файлу вредоноса>"

[HKCR\TypeLib\{B78CAD83-FD06-4B24-A3EF-9765A09A02BD}\1.0\HELPDIR]
"(Default)" = "%WorkDir%"

[HKCR\Interface\{1CFE69DB-8D42-4AF2-9C5A-18557F203BFD}]
"(Default)" = "IActiveFormX"

[HKCR\Interface\{1CFE69DB-8D42-4AF2-9C5A-18557F203BFD}\ProxyStubClsid]
"(Default)" = "{00020424-0000-0000-C000-000000000046}"

[HKCR\Interface\{1CFE69DB-8D42-4AF2-9C5A-18557F203BFD}\ProxyStubClsid32]
"(Default)" = "{00020424-0000-0000-C000-000000000046}"

[HKCR\Interface\{1CFE69DB-8D42-4AF2-9C5A-18557F203BFD}\TypeLib]
"(Default)" = "{B78CAD83-FD06-4B24-A3EF-9765A09A02BD}"
"Version" = "1.0"

[HKCR\Interface\{3561906D-5402-4EAD-AE91-4E2F7D010C62}]
"(Default)" = "IActiveFormXEvents"

[HKCR\Interface\{3561906D-5402-4EAD-AE91-4E2F7D010C62}\ProxyStubClsid]
"(Default)" = "{00020420-0000-0000-C000-000000000046}"

[HKCR\Interface\{3561906D-5402-4EAD-AE91-4E2F7D010C62}\ProxyStubClsid32]
"(Default)" = "{00020420-0000-0000-C000-000000000046}"

[HKCR\Interface\{3561906D-5402-4EAD-AE91-4E2F7D010C62}\TypeLib]
"(Default)" = "{B78CAD83-FD06-4B24-A3EF-9765A09A02BD}"
"Version" = "1.0"

[HKCR\CLSID\{FDB999F7-4444-7C77-AE5B-B777AEE23888}]
"(Default)" = "ActiveFormX Control"

[HKCR\CLSID\{FDB999F7-4444-7C77-AE5B-B777AEE23888}\InprocServer32]
"(Default)" = "<полный путь к файлу вредоноса>"
"ThreadingModel" = "Apartment"

[HKCR\ActiveFormProj1.ActiveFormX]
"(Default)" = "ActiveFormX Control"

[HKCR\ActiveFormProj1.ActiveFormX\Clsid]
"(Default)" = "{FDB999F7-4444-7C77-AE5B-B777AEE23888}"

[HKCR\CLSID\{FDB999F7-4444-7C77-AE5B-B777AEE23888}\ProgID]
"(Default)" = "ActiveFormProj1.ActiveFormX"

[HKCR\CLSID\{FDB999F7-4444-7C77-AE5B-B777AEE23888}\Version]
"(Default)" = "1.0"

[HKCR\CLSID\{FDB999F7-4444-7C77-AE5B-B777AEE23888}\TypeLib]
"(Default)" = "{B78CAD83-FD06-4B24-A3EF-9765A09A02BD}"

[HKCR\CLSID\{FDB999F7-4444-7C77-AE5B-B777AEE23888}\MiscStatus]
"(Default)" = "0"

[HKCR\CLSID\{FDB999F7-4444-7C77-AE5B-B777AEE23888}\MiscStatus\1]
"(Default)" = "205201"

[HKCR\CLSID\{FDB999F7-4444-7C77-AE5B-B777AEE23888}\ToolboxBitmap32]
"(Default)" = "<полный путь к файлу вредоноса>,1"

[HKCR\CLSID\{FDB999F7-4444-7C77-AE5B-B777AEE23888}\Control]
"(Default)" = "Data: "

[HKCR\CLSID\{FDB999F7-4444-7C77-AE5B-B777AEE23888}\Verb]
"(Default)" = "Data: "

[HKCR\CLSID\{FDB999F7-4444-7C77-AE5B-B777AEE23888}\Verb\0]
"(Default)" = "Properties,0,2"

Соответственно, экспортируемая библиотекой функция "DllUnregisterServer" удаляет приведенные выше ключи.

Вредоносная библиотека содержит в своей секции ресурсов файл, размером 150528 байт; MD5: BA4AE591B62BB189B970F8859338A25D, SHA1: 9D703567B745984C9C9AAD0553DDBAD66239C8A5; детектируется Антивирусом Касперского как "Trojan-Spy.Win32.Carberp.qb". Вредонос упакован неизвестным пакером, в распакованном виде имеет размер 158208 байт и детектируется Антивирусом Касперского как "Trojan-Dropper.Win32.Agent.bpxo". Вредонос использует различные антиотладочные приемы. Так работа вредоноса завершается при выполнении хотя бы одного из следующих условий:

• при обнаружении в своем адресном пространстве библиотек:

  dbghelp.dll
  sbiedll.dll
  

• При наличии в системе процесса:

  VBoxService.exe

  Таким образом, троянец препятствует запуску своего тела на виртуальной машине компании Oracle Corporation;
• Ключ системного реестра:

  [HKLM\Software\Microsoft\Windows\CurrentVersion]
  "ProductId"

  принимает одно из следующих значений:

  76487-337-8429955-22614
  76487-644-3177037-23510
  55274-640-2673064-23950
  

Вредонос реализует функционал, позволяющий отслеживать активность пользователя, а также собирать различную информацию в зараженной системе, отправляя полученные данные на сервер злоумышленника. Также с сервера злоумышленника могут быть получены команды, исполняемые вредоносом. Весь деструктивный функционал внедряется в адресное пространство системного процесса:

explorer.exe

Также в ходе своей работы вредонос удаляет ключ системного реестра:

[HKCU\Software\Cerberus]
"StartPersist"

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Отменить регистрацию вредоносной библиотеки, запустив системную утилиту "regsvr32.exe" с параметрами:

   /u "<полный путь к файлу вредоноса>" 

2. Удалить оригинальный файл вредоноса (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).