Actualités

BitDefender^®, éditeur de solutions de sécurité innovantes pour Internet, annonce la disponibilité d’un outil de désinfection gratuit contre le Trojan.Downloader.Carberp.A.

Basé sur les technologies présentes dans Zeus et les chevaux de Troie brésiliens, Trojan.Downloader.Carberp.A a rapidement trouvé sa place dans le club plutôt exclusif des chevaux de Troie bancaires. Il intercepte, manipule et dérobe les informations confidentielles qu’un utilisateur est susceptible d’envoyer ou de recevoir sur Internet.

Trojan.Downloader.Carberp.Aintercepte des identifiants de connexion de sites requérant l’ouverture d’une session sécurisée par SSL, que ce soit des services bancaires, des webmails ou d’autres services exigeant une authentification. Trojan.Downloader.Carberp.A surveille également une liste de sites web contenant plusieurs portails de services bancaires en ligne.

« Une fois exécuté sur l’ordinateur, Trojan.Downloader.Carberp.A crée plusieurs fichiers temporaires dans le dossier %temp%, avant de se copier dans le dossier Démarrage de Windows pour être exécuté à chaque (re)démarrage de l’ordinateur » explique Catalin Cosoi, Directeur des Laboratoires BitDefender de lutte contre les e-menaces. « La technique peut sembler rudimentaire en comparaison avec celle utilisée par d’autres familles de malwares qui ajoutent des entrées de démarrage au Registre. C’est pourtant ce qui permet à Trojan.Downloader.Carberp.A de s’exécuter sur les systèmes d’exploitation les plus récents, ou lors de sessions d’utilisateurs ne disposant pas de privilèges administrateur. »

Juste après l’infection, le téléchargeur se connecte à un serveur, à partir duquel il télécharge un fichier de configuration chiffré, ainsi que des plugins pour intercepter tout trafic Internet et désactiver tout antivirus détecté sur l’ordinateur venant d’être infecté. En retour, Trojan.Downloader.Carberp.A envoie au serveur de commande un identifiant unique et transmet une liste des processus en cours d’exécution via une requête GET.

Après s’être copié dans le dossier de démarrage sous le nom de « syscron.exe » ou « chkntfs.exe », il masque sa présence à l’aide de hooks dans ntdll.dll afin d’intercepter tout appel vers NtQueryDirectoryFile et ZwQueryDirectoryFile, ce qui en conséquence empêche l’utilisateur de voir ces fichiers avec Windows® Explorer® ou la requête en ligne de commande dir.

Catalin Cosoi poursuit : « À chaque fois qu’un utilisateur se connecte à une session d’authentification SSL permettant l’accès à des services bancaires en ligne et à des comptes de réseaux sociaux, Trojan.Downloader.Carberp  dérobe les identifiants de connexion avant même qu’ils ne soient chiffrés et les envoie au serveur via HTTP. Au moment où la demande de connexion atteint la banque, les identifiants de connexion seront, malheureusement, déjà entre les mains des attaquants ».

Trojan.Downloader.Carberp.Acible également certaines banques en Allemagne, au Danemark, aux Pays-Bas, aux États-Unis et en Israël) selon les indications précises qu’il reçoit du serveur avec les instructions de configuration. Cette version sophistiquée des attaques désormais classiques constitue un outil lucratif destiné à dérober de l’argent aux utilisateurs de services en ligne et aux PME.

Trojan.Downloader.Carberp.Apeut également s’installer sans privilèges administrateur et attaquer des systèmes disposant des systèmes d’exploitation les plus récents. Il n’apporte aucune modification au Registre ou aux zones critiques du système d’exploitation.

Les utilisateurs de BitDefender ont été protégés dès l’apparition de cette menace via des routines génériques déjà intégrées dans la base de signatures. Les personnes non protégées par un produit BitDefender peuvent télécharger un outil gratuit de désinfection dans la section Téléchargements de MalwareCity.fr.

Pour retrouver BitDefender en ligne et rester au fait de l’actualité des e-menaces, inscrivez-vous à nos fils d’information :

• Flux RSS
• Facebook
• Twitter
• La communauté MalwareCity