Dopo Stuxnet, BitDefender mette a disposizione un tool di rimozione per il Trojan Carberp


Un’utility indipendente è disponibile per il download gratuito su
MalwareCity.com per proteggere gli utenti dalla crescente minaccia di un
potente trojan bancario
BitDefender®, noto produttore di innovative soluzioni di
sicurezza internet, dopo aver contribuito a contrastare il pericolosissimo worm
Stuxnet, ha messo a disposizione un tool di rimozione gratuito che ha come obiettivo il
Trojan.Downloader.Carberp.A.

Basato sulle tecnologie messe a punto da Zeus e
Brazilian Bankers, Trojan.Downloader.Carberp.A si è rapidamente guadagnato un
posto nel club esclusivo dei Trojan bancari. È programmato per intercettare,
manipolare e rubare informazioni confidenziali che un utente può inviare o ricevere
attraverso internet.
Trojan.Downloader.Carberp.A raccoglie le informazioni da siti web che richiedono il
log in basato su connessioni SSL come i sevizi di online banking e di e-mail. Oltre a
essere interessato ad ogni servizio abbastanza importante da necessitare di
un’autenticazione SSL, il Trojan.Downloader.Carberp.A è progettato per monitorare
una lista di siti web che contengono diversi portali di e-banking.
“Una volta eseguito su di un computer, il Trojan.Downloader.Carberp.A crea un paio
di file temporanei nella cartella %temp% folder, in seguito si copia nella cartella di
Startup di Windows in modo da eseguirsi dopo ogni accensione o riavvio” afferma
Catalin Cosoi, a capo dell’Online Threats Lab di BitDefender. “Questo approccio potrà
sembrare elementare se confrontato con altre famiglie di malware che aggiungono
comandi di avvio al Registro di Sistema, eppure è proprio questa svalutazione che
permette al Trojan.Downloader.Carberp.A di eseguirsi su sistemi operativi più recenti,
o su account di utenti che non hanno privilegi amministrativi”.
Subito dopo l’infezione, il downloader si connette a un server C&C, dal quale
scaricherà un file di configurazione criptato e ulteriore potenza attraverso un plug in.
Questo permette al Trojan.Downloader.Carberp.A di intercettare il traffico internet e
disattivare qualsiasi antivirus che si trovi sul computer appena infettato. In seguito
invia al server C&C un unico ID e carica una lista di processi attivi al momento
attraverso il metodo di richiesta GET.
Dopo essersi copiato all’interno della cartella di startup come syscron.exe o
chkntfs.exe, il Trojan.Downloader.Carberp.A nasconde la propria presenza
utilizzando hook in ntdll.dll per intercettare qualsiasi chiamata verso
NtQueryDirectoryFile e ZwQueryDirectoryFile. Questo significa che l’utente non vedrà
i propri file nella linea di commando dir.

Ogni volta che un utente effettua il log in utilizzando
un’autenticazione basata su SSL per accedere a un account di online banking, e-mail
o social network il Trojan.Downloader.Carberp.

A ruba le informazioni, prima che
vengano criptate, e le invia al proprio server C&C attraverso HTTP. Quando la
richiesta di log in raggiunge la banca, le credenziali saranno già cadute nelle mani
degli aggressori”.
Trojan.Downloader.Carberp.A prende di mira determinate banche in Germania,
Danimarca, Paesi Bassi, Israele seguendo precise istruzioni che riceve dal server
C&C insieme alle istruzioni di configurazione. Quest’approccio sofisticato fornisce un
redditizio strumento finanziario progettato per rubare denaro a clienti di servizi online o
PMI. Il Trojan.Downloader.Carberp.A è anche capace di istallarsi senza i privilegi
dell’amministratore, attacca le ultime versioni di sistemi operativi e non effettua
cambiamenti nel registro di sistema o in aree critiche del sistema operativo.
Gli utenti di BitDefender sono stati protetti dall’inizio dell’attacco grazie a generiche
routine già incluse nel database del fornitore.

Per chi non è protetto da un prodotto BitDefender, l’azienda ha messo a disposizione un tool di rimozione gratuito da
scaricare nella sezione Download di MalwareCity.com.

Lascia un commento