Hallo Leute,
ich habe diesen netten Bericht in der aktuellen Ausgabe der Zeitschrift: COM! .12.2010 gefunden und mir die Mühe gemacht, diesen einfach mal für euch Abzutippen. Er ist so, wie er in der Zeitschrift steht, übernommen. Falls es dazu gekommen ist, das irgendwo sich ein Fehler eingeschlichen hat, so möge der Finder dieses bitte hier Posten, damit ich ihn beheben kann. Grüße und hoffentlich Trojaner/ Vierenfrei euer Ü !!
Der Trojaner Carberb hat das Potential, zu einem der gefährlichsten Schädlinge im Internet zu werden:
Er ist aggressiv, mächtig und braucht nicht mal Adminrechte !!!
Der Trojaner klinkt sich in den Browser ein, manipuliert besuchte Webseiten und klaut Login-Dateien.
Diese Fähigkeit haben auch Trojaner wie Gozi und Zeus.
Das besondere an Carberb ist jedoch, dass er nichts macht, was Adminrechte benötigt.
So umgeht er den Schutz durch die Benutzerkontensteuerung von Windows Vista und 7.
Bislang ist Carberb noch nicht weit verbreitet. Der Antivierenhersteller Trend Micro hat das "Schadenspotiential" des neuen Trojaners jedoch auf die höchste Stufe gesetzt - zu Recht.
Wie gelangt Carberb auf den PC?
Bislang gefundene Carberb-Varianten schleichen sich über manipulierte Webseiten auf fremden PC`s ein. Dabei setzten die Kriminellen Javascripts ein, die Lücken im Browser oder in installierten Plug-ins wie Flash oder Java ausnutzten.
Nachdem der Schadcode einen PC erreicht hat, manipuliert Carberb den Windows-Explorer und injiziert Code. Danach erstellt der Virus mehrere Dateien mit unverfänglichen Namen wie "10.tmp" oder "~TM13.tmp".
Außerdem kopiert er sich in das Autostart-Verzeichnis des gerade angemeldeten Benutzers. Bislang bekannt gewordene Namen für diese Dateien sind "chkntfs.exe" und "syscron.exe"
Wie versteckt er sich auf dem PC?
Zum verstecken benutzt Carberb Rootkits-Tricks, so dass der Schädling unter Windows komplett unsichtbar wird. Er manipuliert die Windows-Bibliothek "NTDLL.dll" und die Komponenten "NtQueryDirectoryFile" sowie"NtResume Thread".
Nur spezialisierte Tools wie "Gmer 1.0.15" zeigen verborgene Dateien an
(kostenlos auf: GMER - Rootkit Detector and Remover )
Wie aktualisiert er sich?
Nach der Infektion nimmt Carberb Kontakt mit einem C&C Server (Command & Control) auf.
Bekannt gewordene Server waren in China und der Ukraine registriert. Zuerst holt sich Carberb eine eindeutige Identifizierungsnummer (ID) vom Kommandoserver. Anschließend erstellt er eine Liste aller aktiven Prozesse auf dem infizierten Pc und kopiert sie auf den Server. Zuletzt lädt Carberb noch die Dateien "stopav.plug" , " miniav.plug" und "passw.plug herunter. "stopav.plug" dient zum deaktivieren des Vierenscanners, während "miniav.plug" konkurrierende Trojaner auf dem Rechner entfernt. "passwav.plug" erlauscht Passwörter und Login`s .
Wie wird Carberb gesteuert?
Die ersten Befehle erhält ein infizierter PC von seinem C&C-Server. Diese Steuerserver werden jedoch meist nach einiger Zeit enttarnt und deaktiviert.
Carberb versucht deswegen den Port 80 in der Firewall zu öffnen. Es ist jedoch unwahrscheinlich, dass der Schädling auch Zugriff auf Router-Firewalls hat.
Der Sicherheitsspezialist Trustdefender hat Carberb in einer abgeschotteten Sandbox ausgeführt, die der Onlinedienst Threatexpert kostenlos anbietet (ThreatExpert - Automated Threat Analysis).
Dabei nahm der Schädling zuerst mit einem C&C-Server in China Kontakt auf. Bereits innerhalb des nur knapp siebeneinhalb Minuten dauernden Testzeitraums erfolgte dann ein Kontaktversuch auf den Port 80 der Sandbox - von einem Computer aus Bosnien aus. Die Bande ist international aktiv.
Wie belauscht Carberb meinen Browser?
Carberb klinkt sich in die Systembibliothek "WININET.dll" ein, die viele zentrale Internetfunktionen von Windows enthält. Über diese DLL erhält der Schädling Zugriff auf den Datenstrom des Browsers. Außerdem greift Carberb auf die Firefox-Bibliothek "NSPR4.dll" zu und erhält so die volle Kontrolle über die Firefox übermittelten und dargestellten Daten.
Carberb filtert Passwörter und Pins aus und sendet sie mit der URL der besuchten Seite an den C&C-Server.
Wie manipulliert Carberb Webseiten, die ich besuche?
Der Trojaner, der durch die Manipulation meherer DLLs Zugriff auf den Browser hat, injiziert Javascripts auf bestimmten Webseiten. Bislang sind nur Scripts bekannt, die den Kriminellen beim klau der Login-Daten helfen.
Wie spüre ich Carberb auf?
Das Tool Process Explorer 12.04 von Microsoft macht eine Carberb-Infektion sichtbar, indem es alle aktiven Prozesse anzeigt (kostenlos unter: Process Explorer .
-Scrollen Sie im oberen Feld vom Process-Explorer bis zu "explorer.exe".
-Wählen Sie" View, Show Lower Pane" aus, um Detailfenster einzublenden.
-Scollen Sie dann runter bis zu den "Threat"-Einträgen.
Steht neben einem der "Threat"-Einträgen der Hinweiß <Non-existent Process>, ist ihr PC laut Trustdefender mit Carberb infiziert.
Führen sie in dem Fall das Carberb Removal Tool von Bitdefender aus, das bisher aber nur die Variante Carberb.A erkennt und entfernt ( kostenlos unter: Carberp Removal Tool - Malware City Community
Quelle: COM! Das Computermagazin
Text: Andreas Th. Fischer
internet@com-magazin.de
Weitere Info`s: http://www.trustdefender.com/blog
Ausführliche Carberb-Analysen (leider nur in Englisch)
