Передовиця: колишнє, поточний, прийдешнє і думи про всіх нас і про все таке.
Новини ігрової індустрії і огляди ігор, від простих проектів на мобільних апаратах до проектів рівня AAA.
Телекомунікації, законодавство, інтернет-сервіси, протоколи, стандарти, загрози безпеки і все інше, що відбувається в сфері зв'язку, з інтернетом і всіма нами.
Все про програмних рішеннях: від операційних систем для різних платформ і автоматизованого проектування, до невеликих, але корисних в побуті додатків.
Trojan.Downloader.Carberp.A краде інформацію, коли користувач вводить аутентифікаційні дані, що передаються через SSL-з'єднання. Зазвичай це відбувається при вході в різні служби онлайн-банкінгу або веб-інтерфейси поштових скриньок. Крім того, троян стежить за всіма службами, які можуть запускати SSL-аутентифікацію, а також за списком конкретних сайтів, в який входять найбільш поширені банки і поштові служби.
«Після проникнення на комп'ютер Trojan.Downloader.Carberp.A створює кілька тимчасових файлів в папці% temp%, а потім копіює себе в папку автозавантаження Windows, щоб запуститися після перезавантаження системи», - говорить Каталін Кошой, глава лабораторії он-лайн загроз компанії BitDefender. «Такий підхід може здатися занадто примітивним, в порівнянні, наприклад, з пропискою автозапуску в реєстр, тим не менш, він забезпечує успішну роботу трояна на нових системах, а також під обліковими записами користувачів, які не мають прав на зміну реєстру».
Після зараження системи, троян з'єднаються з сервером, з якого завантажує зашифрований конфігураційний файл і деякі додаткові модулі. Після цього він в змозі не тільки перехоплювати практично будь-який інтернет-трафік, але і заблокувати будь-який антивірус, встановлений на комп'ютері. Потім вірус відсилає на сервер свій унікальний ідентифікаційний код і список запущених на ураженій машині процесів.
В папку автозавантаження Trojan.Downloader.Carberp.A копіює себе під ім'ям syscron.exe або chkntfs.exe а після цього використовує файл ntdll.dll, щоб приховати себе, перехоплюючи всі звернення до NtQueryDirectoryFile і ZwQueryDirectoryFile. Тобто, користувач не може побачити файл, переглядаючи папку автозавантаження за допомогою провідника або команди dir в командному рядку.
Крім усього іншого, Trojan.Downloader.Carberp.A особливо стежить за зверненнями користувача до деяких конкретних німецьким, датським, голландським, американським та ізраїльським банкам, слідуючи інструкціям і конфігурації, одержуваної з керуючого сервера. Такий підхід дає кібер-злочинцям потужний засіб практично прямий крадіжки електронних грошей з рахунків громадян і організацій. Trojan.Downloader.Carberp.A може встановлювати адміністративні права і атакувати системи під управлінням новітніх ОС, не вносячи жодних змін в реєстр і інші критичні системні області.
Користувачі повнофункціональних пакетів BitDefender захищені від цього вірусу з моменту його появи, а ті, хто ще не встановив серйозною антивірусного захисту, можуть завантажити утиліту для його видалення з розділу Removal Tools (Програми для видалення вірусів) порталу www.malwarecity.com.