Russian

Вход

Поиск

Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано.

Уровень опасности: 1

Следите в

Главная→Описания→Trojan.Win32.Jorik.Carberp.hb

Trojan.Win32.Jorik.Carberp.hb

Время детектирования	08 сен 2011 15:52 MSK
Время выпуска обновления	08 сен 2011 18:57 MSK
Описание опубликовано	27 дек 2011 18:51 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Программа-шпион, предназначенная для похищения конфиденциальных данных пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 233867 байт. Упакована неизвестным упаковщиком. Распакованный размер — около 242 КБ. Написана на C++.

Инсталляция

После активации троянец снимает установленные перехватчики в System Service Descriptor Table (SSDT) .

Далее копирует свое тело в каталог автозагрузки текущего пользователя Windows:

%Documents and Settings%\%Current User%\Start Menu\Programs\Startup\igfxtray.exe

Таким образом, копия троянца будет автоматически запускаться при каждом следующем старте системы.

Время и дата создания файла устанавливается как у файла:

%System%\smss.exe

Для скрытия своего исполняемого файла, троянец перехватывает функцию:

NtQueryDirectoryFile

Деструктивная активность

Троянец запускает копию системного файла:

%WinDir%\explorer.exe

и внедряет в его адресное пространство вредоносный код. Если внедрить вредоносный код не удалось, ищет окно с именем класса "Shell_TrayWnd" (данный класс окна соответствует процессу "explorer.exe") или получает список всех процессов и сравнивает хеши имен процессов с хешом процесса "explorer.exe", прописанным в теле троянца.

Внедренный код, в свою очередь, запускает несколько экземпляров процесса "svchost.exe", внедряя в его адресное пространство вредоносный код реализующий описанный ниже функционал. Оригинальный файл троянца при этом удаляется.

Для внедрения вредоносного кода в адресное пространство запускаемых процессов в системе устанавливает перехватчик на следующую функцию:

NtResumeThread

Троянец держит открытый хэндл на исполняемый файл:

%Documents and Settings%\%Current User%\Start Menu\Programs\Startup\igfxtray.exe

из процесса "svchost.exe", в который был инжектирован вредоносный код. Троянец соединяется со следующим управляющим сервером злоумышленника:

wwwii.ru

Для противодействия антивирусным продуктам и бот-сетям конкурентов троянец загружает с сервера следующие плагины:

wwwii.ru/cfg/stopav.psd
wwwii.ru/cfg/miniav.psd

Загруженные плагины сохраняются под следующими именами:

%Documents and Settings%\%Current User%\%ApplicationData%\igfxtray.dat
%Documents and Settings%\%Current User%\%ApplicationData%\igfxtrayhp.dat

Также с управляющего сервера загружаются дополнительные файлы:

wwwii.ru/get/key.html
wwwii.ru/<rnd1>.<rnd2>

где <rnd1> - случайная последовательность букв, например "qlfuhdisozhblucrrm" или "yojxmoixqogbprreocmbv". <rnd2>- одно из следующих расширений:

.phtml
.php3
.phtm
.inc
.7z
.cgi
.pl
.doc
.rtf
.tpl
.rar

Загруженные файлы сохраняются под именем "fi.dat":

%Documents and Settings%\%Current User%\%ApplicationData%\KYL\fi.dat

На момент создания описания дополнительные модули не загружались. При помощи вредоносного кода внедренного в адресное пространство копий процесса"svchost.exe"троянец может выполнять следующий деструктивный функционал:

обновлять свой оригинальный файл;
перехватывать весь исходящий трафик с целью похищения конфиденциальных данных пользователя, устанавливая системные перехватчики на следующие функции:
```
InternetCloseHandle
InternetQueryDataAvailable
InternetReadFile
InternetReadFileExA
InternetReadFileExW
HttpSendRequestA
HttpSendRequestW
HttpSendRequestExA
HttpSendRequestExW
```
собирать информацию о зараженной системе:
- имя пользователя и имя компьютера;
- полную информацию об установленном процессоре;
- профиль оборудования;
- версию ОС;
- серийный номер тома системного диска;
- IP адрес;
- физический адрес.
похищать cookies из браузеров:
```
Microsoft Internet Explorer
Opera
Firefox
```
похищать конфиденциальные данные пользователя если ресурс, с которым работает пользователь содержит следующие строки:
```
*bsi.dll*
*paypal.com*
*ibc*
```
делать снимки экрана, во время работы с Интернет-банкингом, используя свою внутреннюю библиотеку. При этом готовый снимок сжимается в формате "JPEG" и сохраняется в каталоге временных файлов текущего пользователя Windows под именем временного файла:
```
%Temp%\<tmp>.tmp
```
где <tmp>-случайная цифробуквенная последовательность. После чего файл сохраняется под именем "screen.jpeg":
```
%Temp%\screen.jpeg
```
вести лог клавиатурного ввода;
похищает данные из платежной системы Cyberplat;
похищает реквизиты пользователей от систем Интернет-банкинга, торговых платформ и ДБО (Дистанционное банковское обслуживание):
```
РайффайзенБанк
Faktura
iBank
PSB
BSS
cyberplat
BlackwoodPRO
FinamDirect
GrayBox
MbtPRO
Laser
LightSpeed
LTGroup
Mbt
ScotTrader
SaxoTrader
```
также похищает комплект информации, состоящий из следующих ключевых файлов:
```
self.cer
secrets.key
cert.pfx
sign.cer
prv_key.pfx
```
Похищенная информация сохраняется в файле:
```
%Temp%\<tmp>.tmp
```
где <tmp>-случайная цифробуквенная последовательность. после чего записывается в файл:
```
%Temp%\Information.txt
```
файл отчета имеет следующий формат:
```
Program: <имя_программы>
Wnd Name: <имя_активного_окна>
Server: <адрес>:<порт>
Password: <пароль>
Certificate: <сертификат>
ClipBuffer: <история_вводимых_пользователем_символов>
```
Используя функции из библиотеки "cabinet.dll", троянец создает cab–архив, с именем
```
%Temp%\CAB<tmp>.tmp
```
где <tmp>-случайная цифробуквенная последовательность. в котором сохраняет файлы с похищенными данными. Затем троянец зашифровывает файл и отправляет на сервер злоумышленника. После отправки данных файл удаляется.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

Перезагрузить компьютер в "безопасном режиме" (в самом начале загрузки нажать и удерживать клавишу "F8", затем выбрать пункт "Safe Mode" в меню загрузки Windows).

Удалить файлы:

Documents and Settings%\%Current User%\Start Menu\Programs\Startup\igfxtray.exe
%Documents and Settings%\%Current User%\%ApplicationData%\igfxtray.dat
%Documents and Settings%\%Current User%\%ApplicationData%\igfxtrayhp.dat
%Documents and Settings%\%Current User%\%ApplicationData%\KYL\fi.dat

Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?).
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Печать

Закладки

Вредоносные программы

Троянские программы

Trojan

Вредоносная программа, предназначенная для осуществления несанкционированных пользователем действий, влекущих уничтожение, блокирование, модификацию или копирование информации, нарушение работы компьютеров или компьютерных сетей, и при всём при этом не попадающая ни под одно из других троянских поведений.

К Trojan также относятся «многоцелевые» троянские программы, т.е. программы, способные совершать сразу несколько несанкционированных пользователем действий, присущих одновременно нескольким другим поведениям троянских программ, что не позволяет однозначно отнести их к тому или иному поведению.

Другие модификации

Trojan.Win32.Jorik.Carberp.ar

Trojan.Win32.Jorik.Carberp.dk

Trojan.Win32.Jorik.Carberp.jt

© ЗАО «Лаборатория Касперского», 1997-2013
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей.
Мнение авторов может не совпадать с официальной позицией «Лаборатории Касперского».

kaspersky.ru

securelist.com