Subscribe feed

Траян атакуе аплатныя тэрміналы

16 сакавіка 2011

Кампанія "Доктар Вэб" паведаміла аб выяўленні траяна Trojan.PWS.OSMP, які заражае тэрміналы адной з найбуйных расійскіх аплатных сістэм. Гэтая шкоднасная праграма ўмешваецца ў працу легальнага працэсу maratl.exe, запушчанага ў аперацыйнай сістэме тэрмінала, і падмяняе нумар рахунку, на які ажыццяўляе плацёж карыстач. Такім чынам, грошы пападаюць напроста да зламыснікаў.

Першапачаткова ў аперацыйную сістэму аплатнага тэрмінала (АС Windows) пападае BackDoor.Pushnik, уяўлялы сабой шкоднасную праграму ў выглядзе выкананага файла, напісанага зламыснікамі на мове Delphi. Перадаецца ён праз здымныя носьбіты, у прыватнасці USB Flash Drive. Як толькі такая "флешка" падлучаецца да тэрмінала, адбываецца аўтазапуск бэкдора. У наступным BackDoor.Pushnik атрымлівае з сервера першага ўзроўня канфігурацыйную інфармацыю, у якой прысутнічае адрас кіраўніка сервера другога ўзроўня. З яго, у сваю чаргу, зыходзіць "задача" загрузіць выкананы файл (траянскую праграму Trojan.PWS.OSMP) з трэцяга сервера.

Trojan.PWS.OSMP – адна з першых шкоднасных праграм, уяўлялых небяспека для кліентаў аплатных тэрміналаў. Пападаючы ў аперацыйную сістэму, траян правярае праграмнае забеспячэнне, усталяванае на тэрмінале і ажыццяўляе пошук працэсу maratl.exe, які з'яўляецца суцэль легальнай праграмай. Далей Trojan.PWS.OSMP убудоўваецца ў maratl.exe, змяняючы яго памяць. У сутнасці, траянская праграма дазваляе зламыснікам выправіць любы нумар рахунку, на які карыстачы адпраўляюць грошы. Сродкі, такім чынам, пападаюць напроста вірусастваральнікам.

Апошняя вядомая мадыфікацыя Trojan.PWS.OSMP, якая з'явілася ў канцы лютага 2011 гады, дзейнічае ўжо па іншай схеме. Яна крадзе канфігурацыйны файл, што, меркавана, можа дапамагчы зламыснікам стварыць падроблены тэрмінал на звычайным кампутары і накіроўваць грошы на ўласны рахунак у электроннай форме, абыходзячы купюроприемник.

Цяпер можна з упэўненасцю казаць, што Trojan.PWS.OSMP уяўляе найбольшую небяспеку для тэрміналаў, падлучаных да Інтэрнэту і выкарыстоўвалых maratl.exe. Адмыслоўцы "Доктар Вэб" ужо перадалі ўсю вядомую ім інфармацыю кампаніі — уладальніку тэрміналаў, якія знаходзяцца пад пагрозай.

Па адзнаках адмыслоўцаў з працэсінгавай кампаніі верагоднасць заражэння тэрміналаў гэтым траянам з'яўляецца невысокай з прычыны спецыфікі абслугоўвання. Па іх словам, актыўнасць Trojan.PWS.OSMP на дадзены момант ацэньваецца як нізкая.


рэкамендуем прачытаць таксама

Каментаванне не дазволенае.

Rambler's Top100