Trojan.PWS.OSMP.21 infekuje terminale płatnicze

27 marca, 2014

Użytkownicy domowi to nie jedyny cel współczesnego szkodliwego oprogramowania. Również instytucje finansowe są celem tego typu zagrożeń, bo przecież oprogramowanie tego typu ma przynosić jak największe zyski. Powstają szkodliwe aplikacje, które potrafią wyrządzić szkody na terminalach płatniczych oraz bankomatach.

Doctor Web wydał w tej kwestii ostrzeżenie dotyczące jednego trojana tego typu, nazwanego Trojan.PWS.OSMP.21, którego celem jest infekowanie systemu rosyjskich terminali płatniczych. Trojan ten jest zaimplementowany, jako biblioteka DLL, która przedostaje się do terminala za pośrednictwem zainfekowanych dysków flash. Odkryto również program odpowiedzialny za operację kopiowania tej biblioteki. Jak się okazuje trojan zostaje skopiowany do folderu Dane aplikacji i ukrywa się tam pod nazwą win.sxs. Następnie plik ten posiada procedurę odpowiedzialną za modyfikację rejestru w taki sposób, aby zagrożenie uruchamiało się automatycznie podczas startu systemu.

rejestr
Zawartość rejestru po zainfekowaniu trojanem PWS.OSMP.21

Kolejno inny proces odpowiedzialny jest za przetwarzanie płatności, w przypadku jego braku zostaje zainicjowana inna procedura odpowiedzialna za infekowanie dysków flash. Jeśli proces jest aktywny próbuje pobrać plik config.dat i logi z folderu zawierającego odpowiedni plik wykonywalny, który odpowiedzialny jest za gromadzenie informacji po dysku twardym. Wszystkie pozyskane przez trojana informacje zostają przesłane na serwer atakującego w postaci zaszyfrowanej, w momencie, gdy operacja ta zakończy się powodzeniem trojan sam się usunie.

Zagrożenie Trojan.PWS.OSMP.21 zostało dodane do bazy sygnatur wirusów Dr.Web 14 lutego br., wobec czego oprogramowanie to skutecznie wykrywa i usuwa opisywanego wyżej trojana.

Źródło: Dr.WEB

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]