Trojan.Downloader.Carberp.A ขโมยรายละเอียดมาจากเว็บไซต์ที่ต้องมีใช้งานการ log-in ที่กำหนดสิทธิและระยะเวลาในการเช้าใช้งาน (SSL) เช่น บริการธุรกรรมทางการเงินออนไลน์ และ บริการอีเมล์ นอกจากนี้ยังสามารถสั่งการ Trojan.Downloader.Carberp.A ให้ตรวจสอบรายชื่อของเว็บไซต์ที่ให้บริการ e-banking อีกด้วย
“การทำงานของ Trojan.Downloader.Carberp.A : จะสร้างไฟล์ temporary ขึ้นมา 2 ไฟล์ ในโฟลเดอร์ %temp% จากนั้นทำการคัดลอกตัวมันเองในโฟลเดอร์ Windows Setup เพื่อที่จะเรียกใช้ตัวมันเองขึ้นมาทำงานหลังจาก boot และ รีสตาร์ททุกครั้ง” Catalin Cosoi หัวหน้าศูนย์ BitDefender Online Threat Lab กล่าว “การกระทำนี้อาจจะดูพื้นๆ เมื่อเทียบกับมัลแวร์ที่อยู่ในตระกูลเดียวกันที่ อย่างไรก็ตามนี่คือ..ที่อนุญาตให้ Trojan.Downloader.Carberp.A รันตัวมันเองบนผู้ใช้งานระบบปฏิบัติการมือใหม่ หรือรันบนบัญชีผู้ใช้งานที่ไม่มีสิทธิ์ในระดับผู้ดูแลระบบ”
หลังจากติดไวรัสแล้ว จะเชื่อมต่อไปที่ C&C Server จากที่ที่มันจะดาวน์โหลดไฟล์ที่มีการเข้ารหัสเอาไว้ Trojan.Downloader.Carberp.A จะทำกรขัดขวาง internet traffic และหยุดการทำงานของโปรแกรมป้องกันไวรัสที่พบได้บนคอมพิวเตอร์ที่ติดไวรัส จากนั้นจะส่ง และอัพโหลดรายชื่อของโพรเซสที่กำลังทำงานผ่านคำสั่ง GET
หลังจากคัดลอกตัวเองในโฟลเดอร์ startup ที่มีชื่อไฟล์ว่า syncron.exe หรือ chkntfs.exe เรียบร้อยแล้ว Trojan.Downloader.Carberp.A จะซ่อนตัวอยู่ในที่ของมันโดยใช้ฟังก์ชั่น hooks ใน ntdll.dll เพื่อขัดขวางทุกคำสั่งที่เรียกใช้งาน NtQueryDirectoryFile และ ZwQueryFile นี่หมายความว่าผู้ใช้งานไม่สามารถเห็นไฟล์พวกนี้ได้เลยเมื่อใช้งาน Windows? Explorer? หรือ คำสั่ง dir ใน command-line Cosoi ยังบอกเพิ่มเติมอีกว่า “ทุกครั้งที่ผู้ใช้งาน log in เว็บไซต์จำพวก SSL-based ในการเข้าใช้งาน online banking อีเมลล์ และ บัญชี social network ไวรัส Trojan.Downloader.Carberp.A จะขโมยข้อมูลของพวกเขา ก่อนที่ข้อมูลเหล่านั้นจะถูกเข้ารหัส และส่งไปที่ C&C server โดยใช้ HTTP ทุกครั้งที่มีการเข้าสู่ระบบในคำขอถึงสิทธิเข้าใช้ของธนาคารข้อมูลเกือบทั้งหมดจะตกไปอยู่ในมือของผู้โจมตี
Trojan.Downloader.Carberp.A พุ่งเป้าหมายไปที่ธนาคารในประเทศเยอรมันนี เดนมาร์ก เนเธอร์แลนด์ สหรัฐอเมริกาและอิสราเอล ตามคำสั่งที่ได้รับจาก C&C server พร้อมกับคำแนะในการกำหนดค่า เครื่องมือนี้ถูกออกแบบมาเพื่อขโมยเงินจากลูกค้าที่ใช้บริการออนไลน์ และ SMBs Trojan.Downloader.Carberp.A สามารถติดตั้งเองได้โดยไม่ต้องมีสิทธิการเข้าใช้งานในระดับผู้ดูและระบบ โดยจะรันบนระบบปฏิบัติการเวอร์ชั่นล่าสุด และไม่ต้องเปลี่ยนแปลงค่าใดๆ ใน Registry หรือใน critical areas ของระบบปฏิบัติการ
ลูกค้า BitDefender ได้รับการป้องกันแล้วตั้งแต่เหตุกาณณ์ day zero โดยผ่านการอัพเดท virus signature สำหรับไวรัสตัวไหนที่ไม่สามารถป้องกันได้ คุณสามารถเข้าไปดาวน์โหลด free removal tool ได้ที่ Downloads section ในเว็บไซต์ MalwareCity.com สำหรับผู้ที่ต้องการการป้องกันที่สมบูรณ์ สามารถดาวน์โหลดโปรแกรม BitDefender เวอร์ชั่น 2011 มาใช้งานบนคอมพิวเตอร์ของคุณ สามารถดาวน์โหลดได้ที่เว็บไซต์ BitDefender.com หรือ ติดตามข่าวสารเรื่องไวรัสได้ทุกวันจาก Twitter ของ BitDefender
สอบถามรายละเอียดเพิ่มเติมได้ที่ Call Center 02-982-3545 หรือ http://bitdefender.th.apnw.net
สอบถามข้อมูลเพิ่มเติม โทร. 02-982-3355 , bitdefender (thailand)