martedì 2 novembre 2010

Trojan Downloader: Win32 / Carberp.A







Voce enciclopedia
Aggiornato: 16 settembre 2010 | Pubblicato il: 16 settembre 2010

Alias
Backdoor.Win32.IRCNite.jg (Kaspersky)
Trojan.Zbot (Symantec)

Livello d'allarme
Grave

Dettagli protezione antimalware
Microsoft consiglia di scaricare le ultime definizioni per ottenere protezione.
Rilevazione ultimo aggiornamento:
Definizione: 1.93.846.0
Data di pubblicazione: 31 ottobre 2010

Rilevazione inizialmente creata:
Definizione: 1.73.24.0
Data di pubblicazione: 22 gennaio 2010

Informazioni tecniche (Analisi)
TrojanDownloader: Win32/Carberp.A è un Trojan che silenziosamente scarica e installa altri programmi senza consenso. Ciò potrebbe includere l'installazione di malware aggiuntivi o componenti malware a un computer interessato.

Sintomi
Cambia il sistema

Le modifiche al sistema seguenti possono indicare la presenza di questo malware.

Installazione
Quando viene eseguito, TrojanDownloader: Win32/Carberp.A copia se stesso nelle seguenti posizioni:
  • c:\documents and settings\administrator\local settings\temp\11.tmp
  • c:\documents and settings\administrator\start menu\programs\startup\msconfig32.exe
Il malware crea i seguenti file su un computer interessato:
  • c: \ Documents and Settings \ Administrator \ Local Settings \ Temp \ 10.tmp
  • c: \ Documents and Settings \ Administrator \ Local Settings \ Temp \ 12.tmp
  • c: \ Documents and Settings \ Administrator \ Local Settings \ Temp \ 13.tmp
  • c: \ Documents and Settings \ Administrator \ Local Settings \ Temp \ 14.tmp
  • c: \ Documents and Settings \ Administrator \ Local Settings \ Temp \ 15.tmp
  • c: \ Documents and Settings \ Administrator \ Local Settings \ Temp \ 16.tmp
  • c: \ Documents and Settings \ Administrator \ Local Settings \ Temp \ 17.tmp
  • c: \ Documents and Settings \ Administrator \ Local Settings \ Temp \ e.tmp
  • c: \ Documents and Settings \ Administrator \ Local Settings \ Temp \ f.tmp
  • c:\documents and settings\administrator\start menu\programs\startup\msconfig32.exe
Il malware utilizza l'iniezione del codice al fine di ostacolare il rilevamento e la rimozione. Quando TrojanDownloader: Win32/Carberp.A viene eseguito, si può iniettare il codice nei processi in esecuzione, inclusi il seguente, per esempio:
  • explorer.exe
Carico utile

Contatti host remoto

TrojanDownloader: Win32/Carberp.A può contattare un host remoto a iliked.org utilizzando la porta 80. Comunemente, il malware può contattare un host remoto per le seguenti finalità:
  • Per segnalare una nuova infezione al suo autore
  • Per ricevere la configurazione o altri dati
  • Per scaricare ed eseguire file arbitrari (inclusi gli aggiornamenti o malware addizionali)
  • Per ricevere istruzioni da un attaccante remoto
  • Per caricare i dati ricavati dal computer interessato
Questa descrizione malware è stato prodotta e pubblicata con il sistema automatizzato di analisi del file SHA1 f0711c3d8a16974334e851fa267eed90b209873a.

Fonte: Microsoft

Nessun commento:

Posta un commento

Related Posts Plugin for WordPress, Blogger...