BitDefender ha anunciado el lanzamiento de una herramienta gratuita para eliminar el Troyano Carberp.A. Basado en las tecnologías implementadas en el software malicioso Zeus y en los troyanos bancarios brasileños, este troyano ha obtenido rápidamente un puesto de honor en el ránking de los troyanos bancarios. Carberp.A está diseñado para interceptar, manipular y robar cualquier información confidencial que un usuario envíe o reciba a través de Internet.
Trojan.Downloader.Carberp.A roba los detalles incluidos en webs que requieren de registro o que cuentan con conexiones SSL, como son las páginas de los servicios de banca o de correo electrónico. Aparte de vigilar las conexiones a diversos servicios para forzar su autentificación SSL, este troyano está diseñado también para monitorizar las conexiones a una larga lista de portales bancarios.
Una vez ejecutado en un equipo, Trojan.Downloader.Carberp.A crea dos archivos temporales en la carpeta “temp», luego, se copia a sí mismo en la carpeta de Inicio de Windows para ejecutarse después de cada arranque o reinicio del sistema.
“Este diseño puede parecer básico comparado con el que usan otros ejemplares de malware que, por ejemplo, realizan nuevas entradas en el Registro de Windows, sin embargo, este sistema es el que permite a este troyano ejecutarse a sí mismo en sistemas operativos más nuevos o en las sesiones de usuarios que no cuentan con permisos de Administrador», señala Catalin Cosoi, Director del Laboratorio de amenazas online de BitDefender.
Justo después de infectar un equipo, el troyano se conecta a un servidor C&C, desde el que descargará un archivo cifrado, junto con nuevas funcionalidades como plug-ins. Estos permitirán a Trojan.Downloader.Carberp.A interceptar el tráfico de Internet y detener la actividad de los antivirus instalados en el equipo. A continuación, envía al servidor C&C una ID única para identificar el equipo y una lista actualizada de los procesos que están corriendo en el mismo.
Trojan.Downloader.Carberp.A oculta su presencia mediante el uso de una función en ntdll.dll para interceptar cualquier llamada a NtQueryDirectoryFile y ZwQueryDirectoryFile.
Fuente: BitDefender.
Via: Diario Ti