Már több, mint egy év is eltelt azóta, hogy a Carberp trójaival részletesebben foglalkoztunk. Az elsősorban banki accountunkra leselkedő kártevő nem tűnt el teljesen, a hullámvölgyekkel és hegyekkel tarkított pályafutása sajnos azóta is töretlen.

Ami miatt most újra előkerül, az éppen az, hogy a rá mért csapások ellenére is látszólag igen aktív. Akik emlékeznek még, a Carberp banki trójai fő vadászterülete zömmel a volt Szovjetunió, illetve kiemelten is Ukrajna. Ha az ESET Virusradar térképén megnézzük, az utóbbi időben merre piroslik a világ leginkább a gyakori előfordulás miatt, pontosan ezt látni: az Észak-Amerikai és egyéb közepes értéket jelentő sötétzöld foltok mellett Oroszország utódállamai állnak leginkább a célkeresztben. Ha pedig a Win32/TrojanDownloader.Carberp trójai időbeli eloszlását megfigyeljük az utolsó három évben, világosan látszik, hogy a legaktívabb időszaka a 2012.-es esztendő tavaszáig tartott, míg az ezt követő tömeges letartóztatások inkább csak visszavetették a forgalmát, de sajnos nem iktatták ki teljesen.

Ehhez nyilvánvalóan az is hozzájárult, hogy azóta is aktívan fejlesztik, javítják, folyamatosan módosítják. A Carberp trójai azoknak is emlékezetes lehet, akiknél a gépet megfertőzve a "Your Facebook account is temporary locked!" feliratot jelenítette meg, és újraengedélyezéséét 20 EUR értékű Ukash vocher váltságdíjat követelt. Emellett a kártevő készítői tavaly decemberben váratlanul árusítani is megpróbálták terméküket, 40 ezer dollárt kértek a bootkittel megspékelt kártevőterjesztő csomagért.

A fertőzés folyamán extra shellkód hozzáfűzésével operál, igyekszik kijátszani az aktív vírusvédelmek figyelmét, illetve a korábbi Zeus-os történethez hasonlóan a memóriában manipulálja a böngészőben megjelenítendő HTML oldalakat, emellett további kártékony Java modulokat is igyekszik letölteni. Ha valaki olvasta a múlt heti hírt, emlékezhet a még újabb (sose lesz vége?!) leleplezett, de állítólag szintén régóta rejtőzködő professzionális készítők által fémjelzett TeamSpy kártevőre.

Nos itt jön be még egy érdekesség: a TeamSpy is, és a legújabb verziós Carberp is a TeamViewer nevű népszerű távoli adminisztrátor eszköz módosított változatát használta távoli rejtett elérésre. Nyilvánvalóan a kész program felhasználása a terjesztők részéről több féle haszonnal is jár: spórolnak a kódoláson, hiszen van kész eszköz, de ami ennél sokkal zavaróbb, hogy egy legális, tiszta alkalmazásra, vagy annak kódrészletére nem vakriaszthatnak az antivírusok.

A Win32/Sheldor kártevőben egyébként már régóta, 2010 óta használnak egyes TeamViewer-ből kölcsönzött és átírt részeket praktikusan megfejelve azzal, hogy néhány havonta a távoli hozzáférés segítségével szisztematikusan módosítgatják a kódot amiatt is, hogy a korábbi vírusvédelmi szignatúra alapú felismeréseket minél sikeresebben kijátszhassák.