Trojan.Carberp.1
Данный троянец служит, в основном, для похищения паролей от программ ДБО и торговых платформ. Но, кроме того, может воровать пароли от других программ, имеет функционал по приёму команд от управляющего сервера, способен служить прокси-сервером и т.д. Семейство включает в себя некоторое количество различных модификаций, немного различающихся своим функционалом и/или методами обфускации. Все варианты троянцев зашифрованы вирусными упаковщиками.
Запуск троянца
При запуске, троянская программа предпринимает целый ряд действий для того, чтобы уйти от всевозможных средств контроля и наблюдения. Во-первых, используется снятие с хуков с системных функций. Во-вторых, она несёт в своём теле специальную библиотеку (“r00f_dll.dll”), которая использует несколько эксплоитов для получения доступа к нулевому кольцу (т.е. доступ на уровне ОС). В-третьих, троянец перехватывает некоторые системные функции, чтобы скрыть своё присутствие в системе.
После успешного запуска, троянец внедряется в другие процессы, а свой основной процесс завершает. Т.е. вся его дальнейшая работа происходит внутри сторонних процессов.
Задачи
Основной задачей является похищение клиентской информации, относящейся к системам ДБО.
Кроме основной, троянец решает и другие задачи:
- Создаёт собственный анонимный прокси-сервер. Он может служить в качестве анонимайзера для злоумышленников.
-
Принимает команды от управляющего сервера и выполняет их. Среди команд имеются такие:
- обновление своего модуля,
- исполнение произвольного файла,
- удаление ОС пользователя,
- установление сессии по удалённому управлению компьютером-жертвой (комфортное управление, наподобие Remote Desktop Connection),
- некоторые версии имеют встроенный функционал по проведению DDOS-атак,
- другие команды.
- Похищает пароли от очень большого количества программ – браузеров, мессенджеров, ftp-клиентов, почтовых программ, vpn и т.д. Для этого используется специально скачиваемый файл.
- Имеет возможность деактивировать антивирусы.
- Имеет возможность удалять некоторые конкурирующие вирусы.
Кроме того, благодаря расширяемой архитектуре, троянская программа имеет возможность скачивать специальные плагины для выполнения других действий.
Функционал, связанный с ДБО
Функционал, связанный с ДБО
- инжекты в процессы, которые могут быть связаны с работой ДБО,
- поиск полей ввода интересной информации на формах программ ДБО,
- вклинивание в HTTP (и др.) трафик для поиска определённых подстрок,
- логирование нажатий клавиш,
- создание скриншотов в моменты ввода важной информации,
- перехваты отдельных функций, которые могут участвовать в передаче чувствительной информации,
- поиск и похищение сертификатов и ключей.
Данный троянец ворует клиентскую информацию сразу от большого количества ДБО. Но надо заметить, что в этом вирусном семействе используется особый приём, который сильно затрудняет распознавание конкретных систем ДБО, на которые направлены атаки. Однако можно выделить следующие типы атакуемых систем:
- ДБО, в которых клиент использует какой-либо браузер для доступа к системе
- ДБО, использующие java-приложения
- Другие типы.
Среди чётко распознаваемых систем ДБО и торговых платформ можно выделить такие:
- Cyberplat
- Trusteer
- BS-Client
- Инист
- Webmoney
- BlackwoodPRO
- FinamDirect
- GrayBox
- Laser
- LightSpeed
- LTGroup
- ScotTrader
- MbtPRO
А также другие системы.
В качестве примера того, как представляется похищенная информация, можно привести вот такой фрагмент:
- Название: %s
- Код дилера: %s
- Код точки приема: %s
- Источник ключей: %s
- Путь к ключам: %s
- Кодовая фраза: %s
- Повтор кодовой фразы: %s
- Серийный номер закрытого ключа точки: %s
- Серийный номер открытого ключа банка: %s
Здесь %s означает конкретный элемент информации, отсылаемый злоумышленникам.
