апрель    2026

Пн	Вт	Ср	Чт	Пт	Сб	Вс
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30

показать все 

01.04.2026

Группа «Борлас» вошла в топ-10 крупнейших интеграторов и поставщиков услуг поддержки решений 1С по версии TAdviser

Читать далее 

30.03.2026

Менее 10% компаний в РФ фиксируют экономический эффект от внедрения ИИ

Читать далее 

30.03.2026

Эксперт Т1: „Внедрять ИИ-агентов надо уже сегодня, даже если эффект пока небольшой

Читать далее 

25.03.2026

Компания РДТЕХ сообщила о назначении Глеба Желтова заместителем генерального директора компании

Читать далее 

23.03.2026

Контур.Налоговый мониторинг и платформа «Боцман» интегрированы для локального развертывания

Читать далее 

показать все 

23.03.2026

Эволюция бизнес-процессов от ИИ-инструментов к мультиагентным командам

Читать далее 

23.03.2026

Время внедрения: ИИ в вашем бизнесе – эксперимент или реальная прибыль?

Читать далее 

18.03.2026

Ах, если бы сбылась моя мечта!

Читать далее 

06.03.2026

Как компьютеры понимают текст?

Читать далее 

06.03.2026

Как компьютеры понимают текст?

Читать далее 

29.07.2025

Точность до метра и сантиметра: как применяют технологии позиционирования

Читать далее 

18.04.2024

Как искусственный интеллект изменит экономику

Читать далее 

22.09.2023

Эпоха российской ориентации на Запад в сфере программного обеспечения завершилась

Читать далее 

22.09.2023

Сладкая жизнь

Читать далее 

22.09.2023

12 бизнес-концепций, которыми должны овладеть ИТ-руководители

Читать далее 

показать все 

Главная / Новости партнеров / Trojan.MWZLesson – троянец для POS-терминалов

На протяжении многих лет POS-терминалы остаются лакомым куском для вирусописателей, поскольку они применяются многочисленными торговыми организациями по всему миру для реализации платежей с использованием банковских пластиковых карт. Специалисты компании «Доктор Веб» исследовали очередного троянца, умеющего заражать платежные терминалы, который на поверку оказался модификацией другой вредоносной программы, хорошо знакомой нашим вирусным аналитикам.

POS-троянец, добавленный в вирусные базы Dr.Web под именемTrojan.MWZLesson, после своего запуска регистрирует себя в ветви системного реестра, отвечающей за автозагрузку приложений. В его архитектуре предусмотрен модуль, сканирующий оперативную память инфицированного устройства на наличие в ней треков банковских карт. Этот код злоумышленники позаимствовали у другой предназначенной для заражения POS-терминалов вредоносной программы, известной под именем Trojan.PWS.Dexter. Обнаруженные треки и другие перехваченные данные троянец передает на управляющий сервер.

Trojan.MWZLesson умеет перехватывать GET- и POST-запросы, отправляемые с зараженной машины браузерами Mozilla Firefox, Google Chrome или Microsoft Internet Explorer, – эти запросы троянец дублирует на принадлежащий злоумышленникам управляющий сервер. Кроме того, данная вредоносная программа может выполнять следующие команды:

• CMD – передает поступившую директиву командному интерпретатору CMD;
• LOADER - скачивает и запускает файл (dll – c использованием утилиты regsrv, vbs – c использованием утилиты wscript, exe — осуществляется непосредственный запуск);
• UPDATE – команда обновления;
• rate – задает временной интервал сеансов связи с управляющим сервером;
• FIND - поиск документов по маске;
• DDOS – начать DDoS-атаку методом http-flood.

Обмен данными с управляющим центром Trojan.MWZLesson осуществляет по протоколу HTTP, при этом пакеты, которые троянец отсылает на удаленный сервер, не шифруются, однако вредоносная программа использует в них специальный параметр cookie, при отсутствии которого командный сервер игнорирует поступающие от троянца запросы.

В процессе изучения внутренней архитектуры Trojan.MWZLesson вирусные аналитики компании «Доктор Веб» пришли к выводу, что этот троянец им хорошо знаком, поскольку часть его кода раньше встречалась им в составе другой вредоносной программы. Ею оказался BackDoor.Neutrino.50, урезанной и сокращенной версией которого по сути и является Trojan.MWZLesson.

BackDoor.Neutrino.50 — это многофункциональный бэкдор, использующий при своем распространении эксплойты для уязвимости CVE-2012-0158. Зафиксированы случаи загрузки этой вредоносной программы с различных взломанных злоумышленниками сайтов. При запуске BackDoor.Neutrino.50 проверяет наличие в своем окружении виртуальных машин, в случае обнаружения таковых троянец выводит сообщение об ошибке "An unknown error occurred. Error - (0x[случайное число])", после чего BackDoor.Neutrino.50 удаляет себя из системы.

Помимо функций троянца для POS-терминалов, данный бэкдор обладает возможностью красть информацию из почтового клиента Microsoft, а также учетные данные для доступа к ресурсам по протоколу FTP с использованием ряда популярных ftp-клиентов. Кроме директив, характерных для Trojan.MWZLesson, троянец BackDoor.Neutrino.50 умеет выполнять и другие команды, в частности, он способен осуществлять несколько типов DDoS-атак, удалять некоторые другие работающие на инфицированной машине вредоносные программы, а также может попытаться заразить компьютеры, доступные в локальной сети.

Сигнатуры этих троянцев добавлены в вирусные базы Dr.Web, поэтому они не представляют опасности для пользователей наших антивирусных продуктов.

В начало⇑

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи