Добро пожаловать на независимую площадку Stop Malware.
Показано с 1 по 1 из 1

Тема: Trojan-Spy.Win32.Carberp.adw

Понравилась статья? Поделись с друзьями!
  1. #1
    Аватар для x-sis
    x-sis
    x-sis вне форума

    Местный
    Регистрация
    11.07.2011
    Адрес
    Россия, Волгоград
    Сообщений
    185
    Поблагодарил(а)
    52
    Благодарностей
    124

    Trojan-Spy.Win32.Carberp.adw

    Технические детали



    Программа-шпион, предназначенная для похищения конфиденциальных данных пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 120359 байт. Упакована неизвестным упаковщиком. Распакованный размер — около 133 КБ. Написана на C++.
    Инсталляция

    Создает копию своего файла со случайным именем в каталоге автозапуска Windows:

    %UserProfile%\Start Menu\Programs\Startup\<rnd>.exe

    <rnd> - набор из букв латинского алфавита и цифр, например, "3iik3ug9". Своей копии троянец устанавливает атрибуты "системный" и "архивный".


    Деструктивная активность

    Троянец запускает легитимные файлы "explorer.exe" и "svchost.exe", после этого внедряет в них свой вредоносный код. При этом троянец модифицирует код легитимных файлов таким образом, что они будут запускать на исполнение внедренный вредоносный код.

    Далее троянец удаляет свое оригинальное тело.

    Вредоносный код внедренный в процессы выполняет соединение с сервером злоумышленника:

    76.76.***.2
    123ge***rs.org
    Getl***an.org
    Gerc***z.org


    и ожидает команды. По команде злоумышленника вредоносный код может:

    - Загружать и запускать на исполнение другие вредоносные файлы или свою обновленную версию;
    - Получать другие адреса для соединения с сервером злоумышленника;
    - Нарушить работу операционной системы путем удаления или перезаписи критически важных системных файлов;
    - Протоколировать нажимаемые пользователем клавиши клавиатуры;
    - Отслеживать сетевой трафик компьютера пользователя;
    - Сохранять снимки рабочего стола пользователя;
    - Собирать информацию о компьютере пользователя и установленном программном обеспечении.
    - Предоставлять доступ злоумышленника через удаленный рачий стол.

    Собранные данные троянец может отсылать на сервера злоумышленника.

    На момент создания описания троянец загружал свой обновленный файл размером 199168 байт; MD5: 85e054bc0e5b8fc2b908e4879d1dfa9;


    Рекомендации по удалению

    Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

    1. Выполнить загрузку Windows в "Безопасном режиме"
    2. Удалить вредоносные файлы из каталога автозагрузки:

    %UserProfile%\Start Menu\Programs\Startup\<rnd>.exe

    3. Очистить каталог Temporary Internet Files http://support.kaspersky.ru/viruses/...?qid=180593120, который может содержать инфицированные файлы

    %Temporary Internet Files%

    4. Произвести полную проверку компьютера Антивирусным ПО с обновленными базами.

    Источник: http://www.securelist.com/ru/descrip...32.Carberp.adw
    Последний раз редактировалось x-sis; 04.08.2011 в 00:02.
    http://ProvisionSecurity.ru - об информационных технологиях, о жизни, обо всём.

 

 

Похожие темы

  1. Trojan.Win32.Diple.ple
    от x-sis в разделе Описание вирусов
    Ответов: 0
    Последнее сообщение: 03.08.2011, 16:37
  2. Trojan-Spy.Win32.Carberp.acb
    от x-sis в разделе Описание вирусов
    Ответов: 0
    Последнее сообщение: 03.08.2011, 16:18

Социальные закладки

Социальные закладки

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •