Ruim 80% van de slachtoffers van de Carberp Trojan gebruikten een virusscanner, maar die waren geen partij voor de malware. Dat blijkt uit een onderzoek van beveiligingsonderzoeker Jim McKenney. Carberp was speciaal ontwikkeld om geld van online bankrekeningen te stelen en was ook actief in Nederland. De malware verspreidde zich via drive-by downloads op websites en via e-mail bijlagen waarin een exploit zat verstopt.
Anti-virus
Eenmaal actief op een systeem schakelde Carberp bepaalde functies van de virusscanner uit, zoals actieve bescherming en updates, of verminkte de virusscanner, waardoor het leek alsof de scanner nog functioneerde terwijl dit in werkelijkheid niet zo was, of dat scanner met verminderde capaciteit functioneerde.
Van de 603 computers die McKenney onderzocht hadden er 499 (83%) een virusscanner. In alle gevallen werden de virusscanners door het Trojaanse paard verslagen. Op de meeste systemen draaide Symantec's Norton 360, gevolgd door AVG en Microsoft Security Essentials. De computers waren gemiddeld 243 dagen (8 maanden) geïnfecteerd voordat de infectie werd opgemerkt en verwijderd.
Identiteit
Het Carberp-botnet dat McKenney onderzocht bleek allerlei informatie over de slachtoffers op te slaan om zo een "identiteit" op te bouwen. Zo werd het gebruik van individuen en complete gezinnen bijgehouden, waaronder het soort gebruik van de computer. Aan de hand hiervan werd een bepaalde waarde aan de geïnfecteerde machine toegekend.
Volgens de onderzoeker was het de makers vooral te doen om een klein botnet te bouwen, maar langer op de besmette systemen actief te blijven.
Deze posting is gelocked. Reageren is niet meer mogelijk.