Trojan.Downloader.Carberp.A крадет информацию, когда пользователь вводит аутентификационные данные, передаваемые через SSL соединение. Обычно это происходит при входе в различные службы онлайн-банкинга или веб-интерфейсы почтовых ящиков. Кроме того, троянец следит за всеми службами, которые могут запускать SSL-аутентификацию, а также за списком конкретных сайтов, в который входят наиболее распространенные банки и почтовые службы.
После проникновения на компьютер Trojan.Downloader.Carberp.A создает несколько временных файлов в папке "%temp%", а затем копирует себя в папку автозагрузки Windows, чтобы запуститься после перезагрузки системы. Это обеспечивает успешную работу троянца на новых системах, а также под учетными записями пользователей, не имеющих прав на изменение реестра.
Заразив систему, Trojan.Downloader.Carberp.A соединяется с сервером, с которого загружает зашифрованный конфигурационный файл и некоторые дополнительные модули. После этого он может не только перехватывать практически любой интернет-трафик, но и блокировать любой антивирус, установленный на компьютере. Затем троянец отсылает на сервер свой уникальный идентификационный код и список запущенных на пораженной машине процессов.
В папку автозагрузки Trojan.Downloader.Carberp.A копирует себя под именем "syscron.exe" или "chkntfs.exe", а после этого использует файл "ntdll.dll", чтобы скрыть себя, перехватывая все обращения к NtQueryDirectoryFile и ZwQueryDirectoryFile. То есть, пользователь не может увидеть файл, просматривая папку автозагрузки с помощью проводника или команды dir в командной строке.
"Каждый раз, когда пользователь вводит свои данные на сайте интернет-банка, почтовой службы или социальной сети, использующем SSL-аутентификацию, вирус перехватывает их до шифрования и передает на сервер злоумышленников через HTTP. И еще до того, как они достигнут банка, логин и пароль оказываются в руках кибер-воров".
Trojan.Downloader.Carberp.A особо следит за обращениями пользователя к некоторым конкретным немецким, датским, голландским, американским и израильским банкам, следуя инструкциям и конфигурации, получаемой с управляющего сервера. Такой подход дает киберпреступникам мощное средство кражи электронных денег со счетов граждан и организаций. Trojan.Downloader.Carberp.A может устанавливать административные права и атаковать системы под управлением новейших ОС, не внося никаких изменений в реестр и другие критические системные области.