October 2010
Dopo Stuxnet, BitDefender mette a disposizione un tool di rimozione per il Trojan Carberp
Un'utility indipendente è disponibile per il download gratuito su MalwareCity.com per proteggere gli utenti dalla crescente minaccia di un potente trojan bancario
Bucarest, 19 ottobre 2010 - BitDefender®, noto produttore di innovative soluzioni di sicurezza internet, dopo aver contribuito a contrastare il pericolosissimo worm Stuxnet, ha messo a disposizione un tool di rimozione gratuito che ha come obiettivo il Trojan.Downloader.Carberp.A. Basato sulle tecnologie messe a punto da Zeus e Brazilian Bankers, Trojan.Downloader.Carberp.A si è rapidamente guadagnato un posto nel club esclusivo dei Trojan bancari. È programmato per intercettare, manipolare e rubare informazioni confidenziali che un utente può inviare o ricevere attraverso internet.
Trojan.Downloader.Carberp.Araccoglie le informazioni da siti web che richiedono il log in basato su connessioni SSL come i sevizi di online banking e di e-mail. Oltre a essere interessato ad ogni servizio abbastanza importante da necessitare di un’autenticazione SSL, il Trojan.Downloader.Carberp.A è progettato per monitorare una lista di siti web che contengono diversi portali di e-banking.
“Una volta eseguito su di un computer, il Trojan.Downloader.Carberp.A crea un paio di file temporanei nella cartella %temp% folder, in seguito si copia nella cartella di Startup di Windows in modo da eseguirsi dopo ogni accensione o riavvio” afferma Catalin Cosoi, a capo dell’Online Threats Lab di BitDefender. “Questo approccio potrà sembrare elementare se confrontato con altre famiglie di malware che aggiungono comandi di avvio al Registro di Sistema, eppure è proprio questa svalutazione che permette al Trojan.Downloader.Carberp.A di eseguirsi su sistemi operativi più recenti, o su account di utenti che non hanno privilegi amministrativi”.
Subito dopo l’infezione, il downloader si connette a un server C&C, dal quale scaricherà un file di configurazione criptato e ulteriore potenza attraverso un plug in. Questo permette al Trojan.Downloader.Carberp.A di intercettare il traffico internet e disattivare qualsiasi antivirus che si trovi sul computer appena infettato. In seguito invia al server C&C un unico ID e carica una lista di processi attivi al momento attraverso il metodo di richiesta GET.
Dopo essersi copiato all’interno della cartella di startup come syscron.exe o chkntfs.exe, il Trojan.Downloader.Carberp.A nasconde la propria presenza utilizzando hook in ntdll.dll per intercettare qualsiasi chiamata verso NtQueryDirectoryFile e ZwQueryDirectoryFile. Questo significa che l’utente non vedrà i propri file nella linea di commando dir.
Cosoi continua, “Ogni volta che un utente effettua il log in utilizzando un’autenticazione basata su SSL per accedere a un account di online banking, e-mail o social network il Trojan.Downloader.Carberp.A ruba le informazioni, prima che vengano criptate, e le invia al proprio server C&C attraverso HTTP. Quando la richiesta di log in raggiunge la banca, le credenziali saranno già cadute nelle mani degli aggressori”.
Trojan.Downloader.Carberp.Aprende di mira determinate banche in Germania, Danimarca, Paesi Bassi, Israele seguendo precise istruzioni che riceve dal server C&C insieme alle istruzioni di configurazione. Quest’approccio sofisticato fornisce un redditizio strumento finanziario progettato per rubare denaro a clienti di servizi online o PMI. Il Trojan.Downloader.Carberp.A è anche capace di istallarsi senza i privilegi dell’amministratore, attacca le ultime versioni di sistemi operativi e non effettua cambiamenti nel registro di sistema o in aree critiche del sistema operativo.
Gli utenti di BitDefender sono stati protetti dall’inizio dell’attacco grazie a generiche routine già incluse nel database del fornitore. Per chi non è protetto da un prodotto BitDefender, l’azienda ha messo a disposizione un tool di rimozione gratuito da scaricare nella sezione Downloaddi MalwareCity.com. Per una lista completa delle caratteristiche e dei vantaggi dei prodotti BitDefender 2011 visitate il sito www.bitdefender.it. o seguite Bitdefender su Twitterper aggiornamenti giornalieri sui nuovi malware.
Tutti i prodotti e le aziende menzionate hanno scopo unicamente identificativo, appartengono ai rispettivi proprietari e potrebbero essere marchi registrati.
About Bitdefender®
Bitdefender è il creatore di una delle linee di prodotti software per la sicurezza Internet più veloci, efficaci e certificate a livello internazionale. Sin dal 2001, Bitdefender è sempre stato un pioniere del settore, avendo introdotto e sviluppato tecnologie di protezione pluripremiate e innovative. Oggi le tecnologie Bitdefender proteggono l'esperienza digitale di circa 400 milioni di utenti home e corporate in tutto il mondo.
Di recente, la società ha ottenuto una serie di raccomandazioni dalle principali riviste indipendenti del settore negli Stati Uniti, in Inghilterra e in tutta Europa, tra cui ConsumerSearch, Which?, Stiftung Warentest e Taenk. La tecnologia antivirus di Bitdefender ha anche ottenuto i migliori risultati nelle prove di comparazione eseguite da AV Test e AV-Comparatives. Maggiori informazioni su Bitdefender e i suoi prodotti sono disponibili presso il nostro ufficio stampa per le soluzioni di sicurezza. In aggiunta, Bitdefender pubblica il blog Malware City in cui fornisce tutti gli ultimi aggiornamenti sulle minacce alla sicurezza, aiutando gli utenti a restare sempre informati nella propria battaglia quotidiana contro i malware.