Trojan.PWS.OSMP.21 infekuje terminale płatnicze

Użytkownicy domowi to nie jedyny cel współczesnego szkodliwego oprogramowania. Również instytucje finansowe są celem tego typu zagrożeń, bo przecież oprogramowanie tego typu ma przynosić jak największe zyski. Powstają szkodliwe aplikacje, które potrafią wyrządzić szkody na terminalach płatniczych oraz bankomatach.

Doctor Web wydał w tej kwestii ostrzeżenie dotyczące jednego trojana tego typu, nazwanego Trojan.PWS.OSMP.21, którego celem jest infekowanie systemu rosyjskich terminali płatniczych. Trojan ten jest zaimplementowany, jako biblioteka DLL, która przedostaje się do terminala za pośrednictwem zainfekowanych dysków flash. Odkryto również program odpowiedzialny za operację kopiowania tej biblioteki. Jak się okazuje trojan zostaje skopiowany do folderu Dane aplikacji i ukrywa się tam pod nazwą win.sxs. Następnie plik ten posiada procedurę odpowiedzialną za modyfikację rejestru w taki sposób, aby zagrożenie uruchamiało się automatycznie podczas startu systemu.

Zawartość rejestru po zainfekowaniu trojanem PWS.OSMP.21

Kolejno inny proces odpowiedzialny jest za przetwarzanie płatności, w przypadku jego braku zostaje zainicjowana inna procedura odpowiedzialna za infekowanie dysków flash. Jeśli proces jest aktywny próbuje pobrać plik config.dat i logi z folderu zawierającego odpowiedni plik wykonywalny, który odpowiedzialny jest za gromadzenie informacji po dysku twardym. Wszystkie pozyskane przez trojana informacje zostają przesłane na serwer atakującego w postaci zaszyfrowanej, w momencie, gdy operacja ta zakończy się powodzeniem trojan sam się usunie.

Zagrożenie Trojan.PWS.OSMP.21 zostało dodane do bazy sygnatur wirusów Dr.Web 14 lutego br., wobec czego oprogramowanie to skutecznie wykrywa i usuwa opisywanego wyżej trojana.

Źródło: Dr.WEB



Learn more about our offer

If you sell security solutions, are a distributor, authorized partner or developer and would like to share your portfolio with a group of potential customers, advertise an event, software, hardware or other services on AVLab - simply write to us. Or maybe you had to deal with ransomware? We can also help you decrypt your files.
Read more

We use Google Cloud Translation and Gengo API’s to translate articles with exception of our comparative tests.