Cпециалисты компании «Доктор Веб» говорят о выявлении нового банковского троянца Carberp, предназначенного для кражи пользовательской информации. Как и некоторые другие троянские программы такого типа, Trojan.Carberp.1 обладает встроенными средствами защиты от анализа с помощью отладчика. Характерной особенностью данной троянской программы является то, что она работает частями внутри инфицированных системных процессов, а также активно использует хеширование различных данных. Загрузившись на инфицированном компьютере, троянец проверяет, запущен ли в системе процесс op_mon.exe программы Outpost Firewall, и если да, завершает его. Затем он запускает explorer.exe, встраивается в него и пытается поместить вредоносный объект в экземпляры процесса explorer.exe, владеющие Панелью задач и Рабочим столом Windows. Если сделать этого не удается, Trojan.Carberp.1 пытается встроиться в процесс svchost.exe, а в случае, если и эта попытка заканчивается неудачей, — троянец пытается инфицировать любой браузер, позволяющий открывать файлы с расширением .html. Затем вредоносная программа копирует себя в автозагрузку, завершает процесс-дроппер и запускает несколько инфицированных процессов svchost.exe. В одном из инфицированных процессов на компьютер пользователя скачивается программа miniav, выискивающая и уничтожающая конкурирующие троянские программы (Barracuda And BlackEnergy, Zeus, Limbo, Adrenalin, Generetic, MyLoader), другой процесс устанавливает на зараженном компьютере троянца Trojan.PWS.Stealer.338, предназначенного для хищения паролей от различных клиентский приложений. Trojan.Carberp.1 ищет и передает злоумышленникам данные, необходимые для доступа к банковским сервисам, умеет красть ключи и пароли от различных программ, отслеживать нажатия клавиш, делать снимки экрана и т. д. Кроме того, троянец имеет встроенный модуль, позволяющий обрабатывать поступающие от удаленного командного центра директивы. Благодаря этому Trojan.Carberp.1 может предоставлять злоумышленникам возможность анонимного посещения различных сайтов, превратив компьютер жертвы в прокси-сервер, загружать и запускать различные файлы, отправлять на удаленный узел снимки экрана и даже уничтожить операционную систему.
Мне тоже показалось по описанию, что обычный. Так, пока ничего нового. Можно зевс с тем же пинчем в связке использовать, думаю выхлоп будет примерно такой-же. Хотя я лично в действии этого троянца не видел,так что могу ошибаться.
Бот довольно старый, известен АВ-шникам с 2010 года. Сначала был в привате, потом разработчики решили сделать денег на его продаже в паблике. Была даже спец. модификация для работы по СНГ.
Цербер он же карберп, на рынке с начала 2011 года. Функционал у бота не плохой, есть такие модули как скрытй браузер ( модуль так скажем превосходящий ВНЦ - зевс, РДП - спай ), форм граббер ie ff opera ( правда инжектирования в опере нету так , что можно сказать бесплезная фича), бэкконнект сервер ну и здесь уже упомянутый РУ модуль . Что могу сказать о трое: 1 минус это уебищная админка, очень не удобно искать логи и совершать действия, тут же сразу привязка этой админки к ип, что если полетит что нибудь и автора не будет в сети, можно проебать ботнет. Так же бывают баги с самим ботом, но % не такой высокий что бы заострять внимание. Радует момент отсутствия трекера + цена ( в два раза дешевле спая .
