El archivo Carberp.A. está basado en el software malicioso Zeus y en los troyanos bancarios brasileños y ha sido diseñado para interceptar, manipular y robar información confidencial que un usuario envíe o reciba a través de Internet.
Trojan.Downloader.Carberp.A roba los detalles incluidos en webs que requieren de registro o cuentan con conexiones SSL, como páginas de servicios bancarios o de correo electrónico. Aparte de vigilar las conexiones a diversos servicios para forzar su autentificación SSL, este troyano está diseñado también para monitorear las conexiones a una larga lista de portales bancarios, explican desde BitDefender.
Una vez ejecutado, el troyano crea archivos temporales en la carpeta “temp” y luego se copia a sí mismo en la carpeta de Inicio de Windows para ejecutarse después de cada arranque o reinicio del sistema.
Después de infectar un equipo, el troyano se conecta a un servidor C&C para descargar un archivo cifrado y nuevas funcionalidades que permitirán al código malicioso interceptar el tráfico de Internet y detener la actividad de los antivirus instalados en el equipo. A continuación, envía al servidor C&C una ID única para identificar el equipo y una lista actualizada de los procesos que están corriendo en el mismo.
Trojan.Downloader.Carberp.A oculta su presencia mediante el uso de una función en ntdll.dll para interceptar cualquier llamada a NtQueryDirectoryFile y ZwQueryDirectoryFile
Para combatir este troyano bancario, cuyo método le permite ejecutarse a sí mismo en sistemas operativos más nuevos o en las sesiones de usuarios que no cuentan con permisos de administrador”, según señala Catalin Cosoi, director del laboratorio de amenazas online de BitDefender, la compañía ofrece una herramienta gratuita desde su web Malware City para eliminar el código malicioso.