Trojan.MWZLesson — очередной троян для POS-терминалов
15 сен 2015 18:00 #23961
от ICT
ICT создал тему: Trojan.MWZLesson — очередной троян для POS-терминалов
Специалисты «Доктор Веб» исследовали очередного трояна, умеющего заражать POS-терминалы, который на поверку оказался модификацией другой вредоносной программы, хорошо знакомой вирусным аналитикам компании. Как сообщили CNews в «Доктор Веб», POS-троян, добавленный в вирусные базы Dr.Web под именем Trojan.MWZLesson, после своего запуска регистрирует себя в ветви системного реестра, отвечающей за автозагрузку приложений. В его архитектуре предусмотрен модуль, сканирующий оперативную память инфицированного устройства на наличие в ней треков банковских карт. Этот код злоумышленники позаимствовали у другой, предназначенной для заражения POS-терминалов, вредоносной программы, известной под именем Trojan.PWS.Dexter. Обнаруженные треки и другие перехваченные данные троян передает на управляющий сервер. Trojan.MWZLesson умеет перехватывать GET- и POST-запросы, отправляемые с зараженной машины браузерами Mozilla Firefox, Google Chrome или Microsoft Internet Explorer — эти запросы троян дублирует на принадлежащий злоумышленникам управляющий сервер. Кроме того, данная вредоносная программа может выполнять следующие команды: CMD — передает поступившую директиву командному интерпретатору CMD; LOADER — скачивает и запускает файл (dll — c использованием утилиты regsrv, vbs — c использованием утилиты wscript, exe — осуществляется непосредственный запуск); UPDATE — команда обновления; rate — задает временной интервал сеансов связи с управляющим сервером; FIND — поиск документов по маске; DDOS — начать DDoS-атаку методом http-flood. Обмен данными с управляющим центром Trojan.MWZLesson осуществляет по протоколу HTTP. При этом пакеты, которые троян отсылает на удаленный сервер, не шифруются. Однако вредоносная программа использует в них специальный параметр cookie, при отсутствии которого командный сервер игнорирует поступающие от трояна запросы, отметили в «Доктор Веб». В процессе изучения внутренней архитектуры Trojan.MWZLesson вирусные аналитики «Доктор Веб» пришли к выводу, что этот троян им хорошо знаком, поскольку часть его кода раньше встречалась им в составе другой вредоносной программы. Ею оказался BackDoor.Neutrino.50, урезанной и сокращенной версией которого по сути и является Trojan.MWZLesson, пояснили в компании. BackDoor.Neutrino.50 — это многофункциональный бэкдор, использующий при своем распространении эксплойты для уязвимости CVE-2012-0158. Зафиксированы случаи загрузки этой вредоносной программы с различных взломанных злоумышленниками сайтов, рассказали в «Доктор Веб». При запуске BackDoor.Neutrino.50 проверяет наличие в своем окружении виртуальных машин, а в случае обнаружения таковых выводит сообщение об ошибке «An unknown error occurred. Error - (0x[случайное число])», после чего BackDoor.Neutrino.50 удаляет себя из системы. Помимо функций трояна для POS-терминалов, данный бэкдор обладает возможностью красть информацию из почтового клиента Microsoft, а также учетные данные для доступа к ресурсам по протоколу FTP с использованием ряда популярных ftp-клиентов. Кроме директив, характерных для Trojan.MWZLesson, троян BackDoor.Neutrino.50 умеет выполнять и другие команды. В частности, он способен осуществлять несколько типов DDoS-атак, удалять некоторые другие, работающие на инфицированной машине, вредоносные программы, а также может попытаться заразить компьютеры, доступные в локальной сети. Сигнатуры этих троянов добавлены в вирусные базы Dr.Web, поэтому они не представляют опасности для пользователей антивирусных продуктов «Доктор Веб», подчеркнули в компании.
Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Похожие статьи
Тема | Релевантность | Дата |
---|---|---|
Очередной Android-троян шпионит за китайскими пользователями | 13.38 | Вторник, 25 августа 2015 |
«Доктор Веб» обнаружил очередной троян-шифровальщик для Linux | 13.38 | Четверг, 19 ноября 2015 |
Очередной троян охотится за деньгами пользователей Android-устройств | 13.24 | Понедельник, 21 сентября 2015 |
Trojan.Mutabaha.1 устанавливает поддельный Chrome | 9.16 | Понедельник, 29 августа 2016 |
«Доктор Веб» представил инструкцию для пострадавших от Trojan.Encoder.12544 | 8.96 | Четверг, 29 июня 2017 |
«Доктор Веб» исследовал нового банковского троянца Trojan.Gozi | 8.96 | Пятница, 24 ноября 2017 |
Trojan.LoadMoney собирает и передает злоумышленникам информацию о компьютере жертвы | 8.87 | Четверг, 20 августа 2015 |
«Доктор Веб»: расшифровка файлов, зашифрованных Trojan.Encoder.10465, возможна | 8.87 | Пятница, 17 марта 2017 |
«Доктор Веб»: защита от Trojan. Encoder.12544 с использованием файла perfc неэффективна, «вакцина» — не панацея | 8.6 | Пятница, 30 июня 2017 |
Qiwi обновила интерфейс платежных терминалов | 7.44 | Понедельник, 27 апреля 2015 |