Carberp
Carberp ist ein Trojaner, der die Man-in-the-Browser-Methode nutzt, um Anwender beim Onlinebanking oder der Benutzung eines Sozialen Netzwerks zu schädigen.
Trotz seiner zunächst geringen Verbreitung wurde er aufgrund seines hohen Schadenspotentials von Antivirenherstellern wie Trend Micro als einer der potentiell gefährlichsten Trojaner eingestuft.<ref name="CM"/> Das Bundesamt für Sicherheit in der Informationstechnik warnte bereits 2010 vor Carberp.<ref name="BSI">BSI Lagebericht 4/2010, bsi.bund.de</ref>
Carberp manipuliert direkt im Browser die vom Nutzer aufgerufenen Webseiten und späht Anmelde-Daten aus, noch bevor sie verschlüsselt werden.<ref name="BSI"/><ref name="CM"/> Carberp benötigt für diese Aktionen keine Admin-Rechte und umgeht dadurch den Schutz durch die Benutzerkontensteuerung von Windows Vista und Windows 7.<ref name="CM"/>
Der Carberp-Trojaner hat unter anderem folgende Eigenschaften:<ref name="BSI"/>
- er deaktiviert andere Schadsoftware, um nicht gestört zu werden und den Abfluss von Informationen an andere Kriminelle zu unterbinden
- ist ohne Administrationsrechte auf dem infizierten Rechner lauffähig
- das Schadprogramm hat volle Kontrolle über den Internet-Verkehr des infizierten Rechners
- Carberp überträgt in Echtzeit Daten zum Server der Angreifer
Carberp wird ständig weiterentwickelt und tritt in verschiedenen Varianten auf. Eine 2012 aufgetauchte Variante des Carberp-Trojaners blockiert den Zugriff auf Facebook. Statt der normalen Profil-Seite wird dem Nutzer eine Seite im Facebook-Look gezeigt, auf der er zur Zahlung eines Geldbetrages aufgefordert wird, um seinen Login zurückzuerhalten.<ref><templatestyles src="Webarchiv/styles.css" />{{#if:20120421211705
| {{#ifeq: 20120421211705 | *
| {{#if: Trojaner erpresst Facebook-Nutzer | {{#invoke:WLink|getEscapedTitle|Trojaner erpresst Facebook-Nutzer}} | {{#invoke:Webarchiv|getdomain|http://computer.t-online.de/carberp-trojaner-erpresst-facebook-nutzer-um-geld/id_53276440/index}} }} (Archivversionen)
| {{#iferror: {{#time: j. F Y|20120421211705}}
| {{#if: || }}Der Wert des Parameters {{#if: wayback | wayback | Datum }} muss ein gültiger Zeitstempel der Form YYYYMMDDHHMMSS sein!
| {{#if: Trojaner erpresst Facebook-Nutzer | {{#invoke:WLink|getEscapedTitle|Trojaner erpresst Facebook-Nutzer}} | {{#invoke:Webarchiv|getdomain|http://computer.t-online.de/carberp-trojaner-erpresst-facebook-nutzer-um-geld/id_53276440/index}} }} {{#ifeq: | [] | [ | ( }}{{#if: {{#if: 2023-12-02 10:52:40 InternetArchiveBot | 2023-12-02 10:52:40 InternetArchiveBot | }} | des Vorlage:Referrer }} vom {{#time: j. F Y|20120421211705}} im Internet Archive{{#if: | ; }}{{#ifeq: | [] | ] | ) }}
}}
}}
| {{#if:
| {{#iferror: {{#time: j. F Y|{{{webciteID}}}}}
| {{#switch: {{#invoke:Str|len|{{{webciteID}}}}}
| 16= {{#if: Trojaner erpresst Facebook-Nutzer | {{#invoke:WLink|getEscapedTitle|Trojaner erpresst Facebook-Nutzer}} | {{#invoke:Webarchiv|getdomain|http://computer.t-online.de/carberp-trojaner-erpresst-facebook-nutzer-um-geld/id_53276440/index}} }} {{#ifeq: | [] | [ | ( }}{{#if: {{#if: 2023-12-02 10:52:40 InternetArchiveBot | 2023-12-02 10:52:40 InternetArchiveBot | }} | des Vorlage:Referrer }} vom {{#time: j. F Y| 19700101000000 + {{#expr: floor {{#expr: {{#invoke:Str|sub|{{{webciteID}}}|1|10}}/86400}} }} days}} auf WebCite{{#if: | ; }}{{#ifeq: | [] | ] | ) }}
| 9 = {{#if: Trojaner erpresst Facebook-Nutzer | {{#invoke:WLink|getEscapedTitle|Trojaner erpresst Facebook-Nutzer}} | {{#invoke:Webarchiv|getdomain|http://computer.t-online.de/carberp-trojaner-erpresst-facebook-nutzer-um-geld/id_53276440/index}} }} {{#ifeq: | [] | [ | ( }}{{#if: {{#if: 2023-12-02 10:52:40 InternetArchiveBot | 2023-12-02 10:52:40 InternetArchiveBot | }} | des Vorlage:Referrer}} vom {{#time: j. F Y| 19700101000000 + {{#expr: floor {{#expr: {{#invoke:Str|sub|{{#invoke:Expr|base62|{{{webciteID}}}}}|1|10}}/86400}} }} days}} auf WebCite{{#if: | ; }}{{#ifeq: | [] | ] | ) }}
| #default= Der Wert des Parameters {{#if: webciteID | webciteID | ID }} muss entweder ein Zeitstempel der Form YYYYMMDDHHMMSS oder ein Schüsselwert mit 9 Zeichen oder eine 16-stellige Zahl sein!{{#if: || }}
}}
| c|{{{webciteID}}}}} {{#if: Trojaner erpresst Facebook-Nutzer | {{#invoke:WLink|getEscapedTitle|Trojaner erpresst Facebook-Nutzer}} | {{#invoke:Webarchiv|getdomain|http://computer.t-online.de/carberp-trojaner-erpresst-facebook-nutzer-um-geld/id_53276440/index}} }} ({{#if: {{#if: 2023-12-02 10:52:40 InternetArchiveBot | 2023-12-02 10:52:40 InternetArchiveBot | }} | des Vorlage:Referrer}} vom {{#time: j. F Y|{{{webciteID}}}}} auf WebCite{{#if: | ; }}{{#ifeq: | [] | ] | ) }}
}}
| {{#if:
| Vorlage:Webarchiv/Today
| {{#if:
| Vorlage:Webarchiv/Generisch
| {{#if: Trojaner erpresst Facebook-Nutzer | {{#invoke:WLink|getEscapedTitle|Trojaner erpresst Facebook-Nutzer}} | {{#invoke:Webarchiv|getdomain|http://computer.t-online.de/carberp-trojaner-erpresst-facebook-nutzer-um-geld/id_53276440/index}} }}
}}}}}}}}{{#if:2023-12-02 10:52:40 InternetArchiveBot
| Vorlage:Webarchiv/archiv-bot
}}{{#invoke:TemplatePar|check
|all = url=
|opt = text= wayback= webciteID= archive-is= archive-today= archiv-url= archiv-datum= ()= archiv-bot= format= original=
|cat = Wikipedia:Vorlagenfehler/Vorlage:Webarchiv
|errNS = 0
|template = Vorlage:Webarchiv
|format = *
|preview = 1
}}{{#ifexpr: {{#if:20120421211705|1|0}}{{#if:|+1}}{{#if:|+1}}{{#if:|+1}}{{#if:|+1}} <> 1
| {{#if: || }}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Genau einer der Parameter 'wayback', 'webciteID', 'archive-today', 'archive-is' oder 'archiv-url' muss angegeben werden.|1}}
}}{{#if:
| {{#switch: {{#invoke:Webarchiv|getdomain|{{{archiv-url}}}}}
| web.archive.org =
{{#if: || }}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Im Parameter 'archiv-url' wurde URL von Internet Archive erkannt, bitte Parameter 'wayback' benutzen.|1}}
| webcitation.org =
{{#if: || }}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Im Parameter 'archiv-url' wurde URL von WebCite erkannt, bitte Parameter 'webciteID' benutzen.|1}}
| archive.today |archive.is |archive.ph |archive.fo |archive.li |archive.md |archive.vn =
{{#if: || }}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Im Parameter 'archiv-url' wurde URL von archive.today erkannt, bitte Parameter 'archive-today' benutzen.|1}}
}}{{#if:
| {{#iferror: {{#iferror:{{#invoke:Vorlage:FormatDate|Execute}}|}}
| {{#if: || }}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Der Wert des Parameter 'archiv-datum' ist ungültig oder hat ein ungültiges Format.|1}}
| }}
| {{#if: || }}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Der Pflichtparameter 'archiv-datum' wurde nicht angegeben.|1}}
}}
| {{#if:
| {{#if: || }}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Der Parameter 'archiv-datum' ist nur in Verbindung mit 'archiv-url' angebbar.|1}}
}}
}}{{#if:{{#invoke:URLutil|isHostPathResource|http://computer.t-online.de/carberp-trojaner-erpresst-facebook-nutzer-um-geld/id_53276440/index}}
|| {{#if: || }}
}}{{#if: Trojaner erpresst Facebook-Nutzer
| {{#if: {{#invoke:WLink|isBracketedLink|Trojaner erpresst Facebook-Nutzer}}
| {{#if: || }}
}}
| {{#if: || }}
}}{{#switch:
|addlarchives|addlpages= {{#if: || }}{{#if: 1 |}}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: enWP-Wert im Parameter 'format'.|1}}
}}{{#ifeq: {{#invoke:Str|find|http://computer.t-online.de/carberp-trojaner-erpresst-facebook-nutzer-um-geld/id_53276440/index%7Carchiv}} |-1
|| {{#ifeq: {{#invoke:Str|find|{{#invoke:Str|cropleft|http://computer.t-online.de/carberp-trojaner-erpresst-facebook-nutzer-um-geld/id_53276440/index%7C4}}%7Chttp}} |-1
|| {{#switch: {{#invoke:Webarchiv|getdomain|http://computer.t-online.de/carberp-trojaner-erpresst-facebook-nutzer-um-geld/id_53276440/index }}
| abendblatt.de | daserste.ndr.de | inarchive.com | webcitation.org =
| #default = {{#if: || }}{{#if: 1 |}}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Archiv-URL im Parameter 'url' anstatt URL der Originalquelle. Entferne den vor der Original-URL stehenden Mementobestandteil und setze den Archivierungszeitstempel in den Parameter 'wayback', 'webciteID', 'archive.today' oder 'archive-is' ein, sofern nicht bereits befüllt.|1}}
}}
}}
}} bei t-online.de</ref>
Seit Juni 2013 ist der Quellcode des Trojaners, der zuvor für etwa 40.000 US-Dollar zum Kauf angeboten wurde, in diversen Hackingforen frei verfügbar zum Download.<ref>Banking-Trojaner Carberp: Gestern 50.000 US-Dollar, heute gratis im Netz bei heise.de, abgerufen am 1. Juli 2013</ref>
Weblinks
- Under the Hood of Carberp: Malware & Configuration Analysis (PDF; 298 kB) bei trusteer.com (englisch)
Einzelnachweise
<references > <ref name="CM"> <templatestyles src="Webarchiv/styles.css" />{{#if:20101223190905
| {{#ifeq: 20101223190905 | *
| {{#if: Der Trojaner Carberp | {{#invoke:WLink|getEscapedTitle|Der Trojaner Carberp}} | {{#invoke:Webarchiv|getdomain|http://www.com-magazin.de/fileadmin/download/leseprobe/leseprobe-01-2011.pdf}} }} (Archivversionen)
| {{#iferror: {{#time: j. F Y|20101223190905}}
| {{#if: || }}Der Wert des Parameters {{#if: wayback | wayback | Datum }} muss ein gültiger Zeitstempel der Form YYYYMMDDHHMMSS sein!
| {{#if: Der Trojaner Carberp | {{#invoke:WLink|getEscapedTitle|Der Trojaner Carberp}} | {{#invoke:Webarchiv|getdomain|http://www.com-magazin.de/fileadmin/download/leseprobe/leseprobe-01-2011.pdf}} }} {{#ifeq: | [] | [ | ( }}{{#if: {{#if: | {{{archiv-bot}}} | }} | des Vorlage:Referrer }} vom {{#time: j. F Y|20101223190905}} im Internet Archive{{#if: | ; }}{{#ifeq: | [] | ] | ) }}
}}
}}
| {{#if:
| {{#iferror: {{#time: j. F Y|{{{webciteID}}}}}
| {{#switch: {{#invoke:Str|len|{{{webciteID}}}}}
| 16= {{#if: Der Trojaner Carberp | {{#invoke:WLink|getEscapedTitle|Der Trojaner Carberp}} | {{#invoke:Webarchiv|getdomain|http://www.com-magazin.de/fileadmin/download/leseprobe/leseprobe-01-2011.pdf}} }} {{#ifeq: | [] | [ | ( }}{{#if: {{#if: | {{{archiv-bot}}} | }} | des Vorlage:Referrer }} vom {{#time: j. F Y| 19700101000000 + {{#expr: floor {{#expr: {{#invoke:Str|sub|{{{webciteID}}}|1|10}}/86400}} }} days}} auf WebCite{{#if: | ; }}{{#ifeq: | [] | ] | ) }}
| 9 = {{#if: Der Trojaner Carberp | {{#invoke:WLink|getEscapedTitle|Der Trojaner Carberp}} | {{#invoke:Webarchiv|getdomain|http://www.com-magazin.de/fileadmin/download/leseprobe/leseprobe-01-2011.pdf}} }} {{#ifeq: | [] | [ | ( }}{{#if: {{#if: | {{{archiv-bot}}} | }} | des Vorlage:Referrer}} vom {{#time: j. F Y| 19700101000000 + {{#expr: floor {{#expr: {{#invoke:Str|sub|{{#invoke:Expr|base62|{{{webciteID}}}}}|1|10}}/86400}} }} days}} auf WebCite{{#if: | ; }}{{#ifeq: | [] | ] | ) }}
| #default= Der Wert des Parameters {{#if: webciteID | webciteID | ID }} muss entweder ein Zeitstempel der Form YYYYMMDDHHMMSS oder ein Schüsselwert mit 9 Zeichen oder eine 16-stellige Zahl sein!{{#if: || }}
}}
| c|{{{webciteID}}}}} {{#if: Der Trojaner Carberp | {{#invoke:WLink|getEscapedTitle|Der Trojaner Carberp}} | {{#invoke:Webarchiv|getdomain|http://www.com-magazin.de/fileadmin/download/leseprobe/leseprobe-01-2011.pdf}} }} ({{#if: {{#if: | {{{archiv-bot}}} | }} | des Vorlage:Referrer}} vom {{#time: j. F Y|{{{webciteID}}}}} auf WebCite{{#if: | ; }}{{#ifeq: | [] | ] | ) }}
}}
| {{#if:
| Vorlage:Webarchiv/Today
| {{#if:
| Vorlage:Webarchiv/Generisch
| {{#if: Der Trojaner Carberp | {{#invoke:WLink|getEscapedTitle|Der Trojaner Carberp}} | {{#invoke:Webarchiv|getdomain|http://www.com-magazin.de/fileadmin/download/leseprobe/leseprobe-01-2011.pdf}} }}
}}}}}}}}{{#if:
| Vorlage:Webarchiv/archiv-bot
}}{{#invoke:TemplatePar|check
|all = url=
|opt = text= wayback= webciteID= archive-is= archive-today= archiv-url= archiv-datum= ()= archiv-bot= format= original=
|cat = Wikipedia:Vorlagenfehler/Vorlage:Webarchiv
|errNS = 0
|template = Vorlage:Webarchiv
|format = *
|preview = 1
}}{{#ifexpr: {{#if:20101223190905|1|0}}{{#if:|+1}}{{#if:|+1}}{{#if:|+1}}{{#if:|+1}} <> 1
| {{#if: || }}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Genau einer der Parameter 'wayback', 'webciteID', 'archive-today', 'archive-is' oder 'archiv-url' muss angegeben werden.|1}}
}}{{#if:
| {{#switch: {{#invoke:Webarchiv|getdomain|{{{archiv-url}}}}}
| web.archive.org =
{{#if: || }}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Im Parameter 'archiv-url' wurde URL von Internet Archive erkannt, bitte Parameter 'wayback' benutzen.|1}}
| webcitation.org =
{{#if: || }}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Im Parameter 'archiv-url' wurde URL von WebCite erkannt, bitte Parameter 'webciteID' benutzen.|1}}
| archive.today |archive.is |archive.ph |archive.fo |archive.li |archive.md |archive.vn =
{{#if: || }}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Im Parameter 'archiv-url' wurde URL von archive.today erkannt, bitte Parameter 'archive-today' benutzen.|1}}
}}{{#if:
| {{#iferror: {{#iferror:{{#invoke:Vorlage:FormatDate|Execute}}|}}
| {{#if: || }}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Der Wert des Parameter 'archiv-datum' ist ungültig oder hat ein ungültiges Format.|1}}
| }}
| {{#if: || }}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Der Pflichtparameter 'archiv-datum' wurde nicht angegeben.|1}}
}}
| {{#if:
| {{#if: || }}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Der Parameter 'archiv-datum' ist nur in Verbindung mit 'archiv-url' angebbar.|1}}
}}
}}{{#if:{{#invoke:URLutil|isHostPathResource|http://www.com-magazin.de/fileadmin/download/leseprobe/leseprobe-01-2011.pdf}}
|| {{#if: || }}
}}{{#if: Der Trojaner Carberp
| {{#if: {{#invoke:WLink|isBracketedLink|Der Trojaner Carberp}}
| {{#if: || }}
}}
| {{#if: || }}
}}{{#switch:
|addlarchives|addlpages= {{#if: || }}{{#if: 1 |}}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: enWP-Wert im Parameter 'format'.|1}}
}}{{#ifeq: {{#invoke:Str|find|http://www.com-magazin.de/fileadmin/download/leseprobe/leseprobe-01-2011.pdf%7Carchiv}} |-1
|| {{#ifeq: {{#invoke:Str|find|{{#invoke:Str|cropleft|http://www.com-magazin.de/fileadmin/download/leseprobe/leseprobe-01-2011.pdf%7C4}}%7Chttp}} |-1
|| {{#switch: {{#invoke:Webarchiv|getdomain|http://www.com-magazin.de/fileadmin/download/leseprobe/leseprobe-01-2011.pdf }}
| abendblatt.de | daserste.ndr.de | inarchive.com | webcitation.org =
| #default = {{#if: || }}{{#if: 1 |}}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Archiv-URL im Parameter 'url' anstatt URL der Originalquelle. Entferne den vor der Original-URL stehenden Mementobestandteil und setze den Archivierungszeitstempel in den Parameter 'wayback', 'webciteID', 'archive.today' oder 'archive-is' ein, sofern nicht bereits befüllt.|1}}
}}
}}
}} (PDF; 284 kB) bei com-magazin.de</ref>
</references >