|
Календарь мероприятий
май  2025
Пн |
Вт |
Ср |
Чт |
Пт |
Сб |
Вс |
| | | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | 31 | |
показать все 
Новости партнеров
Может ли ИИ приготовить курицу под open sauce? Узнаем в новом выпуске «Инфобеза со вкусом»
Читать далее
DBI приглашает на вебинар по управлению МЧД в крупном корпоративном бизнесе
Читать далее
В России разработали первого ИИ-тестировщика
Читать далее
Новые ИТ-кадры для цифровой экономики: «Газинформсервис» делится опытом на СПЭК-2025
Читать далее
Международный конгресс «Суперкомпьютерные дни в России»
Читать далее
показать все
Статьи
Инвестиции в технологии – ключ к успеху: RANKS, проект IMPACT Capital, признан лучшей технологической компанией года
Читать далее
Светлана Иванова: «Техподдержка становится драйвером российских технологий в части СУБД»
Читать далее
Управление закупками и поставщиками через современные механизмы
Читать далее
Какой формат работы вы предпочитаете?
Читать далее
Будущее финансовых технологий и криптовалют
Читать далее
Что следует учитывать ИТ-директорам, прежде чем претендовать на должность генерального директора?
Читать далее
Взгляд в перспективу: что будет двигать отрасль информационной безопасности
Читать далее
5 способов повысить безопасность электронной подписи
Читать далее
Как искусственный интеллект изменит экономику
Читать далее
Неочевидный САПР: выход ПО за рамки конструкторской деятельности
Читать далее
показать все
|
Trojan.MWZLesson – троянец для POS-терминалов
Главная / Новости партнеров / Trojan.MWZLesson – троянец для POS-терминалов
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
На протяжении многих лет POS-терминалы остаются лакомым куском для вирусописателей, поскольку они применяются многочисленными торговыми организациями по всему миру для реализации платежей с использованием банковских пластиковых карт. Специалисты компании «Доктор Веб» исследовали очередного троянца, умеющего заражать платежные терминалы, который на поверку оказался модификацией другой вредоносной программы, хорошо знакомой нашим вирусным аналитикам.
POS-троянец, добавленный в вирусные базы Dr.Web под именемTrojan.MWZLesson, после своего запуска регистрирует себя в ветви системного реестра, отвечающей за автозагрузку приложений. В его архитектуре предусмотрен модуль, сканирующий оперативную память инфицированного устройства на наличие в ней треков банковских карт. Этот код злоумышленники позаимствовали у другой предназначенной для заражения POS-терминалов вредоносной программы, известной под именем Trojan.PWS.Dexter. Обнаруженные треки и другие перехваченные данные троянец передает на управляющий сервер.
Trojan.MWZLesson умеет перехватывать GET- и POST-запросы, отправляемые с зараженной машины браузерами Mozilla Firefox, Google Chrome или Microsoft Internet Explorer, – эти запросы троянец дублирует на принадлежащий злоумышленникам управляющий сервер. Кроме того, данная вредоносная программа может выполнять следующие команды:
- CMD – передает поступившую директиву командному интерпретатору CMD;
- LOADER - скачивает и запускает файл (dll – c использованием утилиты regsrv, vbs – c использованием утилиты wscript, exe — осуществляется непосредственный запуск);
- UPDATE – команда обновления;
- rate – задает временной интервал сеансов связи с управляющим сервером;
- FIND - поиск документов по маске;
- DDOS – начать DDoS-атаку методом http-flood.
Обмен данными с управляющим центром Trojan.MWZLesson осуществляет по протоколу HTTP, при этом пакеты, которые троянец отсылает на удаленный сервер, не шифруются, однако вредоносная программа использует в них специальный параметр cookie, при отсутствии которого командный сервер игнорирует поступающие от троянца запросы.
В процессе изучения внутренней архитектуры Trojan.MWZLesson вирусные аналитики компании «Доктор Веб» пришли к выводу, что этот троянец им хорошо знаком, поскольку часть его кода раньше встречалась им в составе другой вредоносной программы. Ею оказался BackDoor.Neutrino.50, урезанной и сокращенной версией которого по сути и является Trojan.MWZLesson.
BackDoor.Neutrino.50 — это многофункциональный бэкдор, использующий при своем распространении эксплойты для уязвимости CVE-2012-0158. Зафиксированы случаи загрузки этой вредоносной программы с различных взломанных злоумышленниками сайтов. При запуске BackDoor.Neutrino.50 проверяет наличие в своем окружении виртуальных машин, в случае обнаружения таковых троянец выводит сообщение об ошибке "An unknown error occurred. Error - (0x[случайное число])", после чего BackDoor.Neutrino.50 удаляет себя из системы.
Помимо функций троянца для POS-терминалов, данный бэкдор обладает возможностью красть информацию из почтового клиента Microsoft, а также учетные данные для доступа к ресурсам по протоколу FTP с использованием ряда популярных ftp-клиентов. Кроме директив, характерных для Trojan.MWZLesson, троянец BackDoor.Neutrino.50 умеет выполнять и другие команды, в частности, он способен осуществлять несколько типов DDoS-атак, удалять некоторые другие работающие на инфицированной машине вредоносные программы, а также может попытаться заразить компьютеры, доступные в локальной сети.
Сигнатуры этих троянцев добавлены в вирусные базы Dr.Web, поэтому они не представляют опасности для пользователей наших антивирусных продуктов.
В начало⇑
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
Комментарии отсутствуют
Комментарии могут отставлять только зарегистрированные пользователи
|
Вакансии на сайте Jooble
|
_cover_.jpg)
_small.jpg)
