Специалисты компании «Доктор Веб» исследовали очередного троянца, умеющего заражать платежные терминалы, который на поверку оказался модификацией другой вредоносной программы, хорошо знакомой нашим вирусным аналитикам.
POS-троянец, добавленный в вирусные базы Dr.Web под именем Trojan.MWZLesson, после своего запуска регистрирует себя в ветви системного реестра, отвечающей за автозагрузку приложений. В его архитектуре предусмотрен модуль, сканирующий оперативную память инфицированного устройства на наличие в ней треков банковских карт. Этот код злоумышленники позаимствовали у другой предназначенной для заражения POS-терминалов вредоносной программы, известной под именем Trojan.PWS.Dexter. Обнаруженные треки и другие перехваченные данные троянец передает на управляющий сервер.
Trojan.MWZLesson умеет перехватывать GET- и POST-запросы, отправляемые с зараженной машины браузерами Mozilla Firefox, Google Chrome или Microsoft Internet Explorer, – эти запросы троянец дублирует на принадлежащий злоумышленникам управляющий сервер. Кроме того, данная вредоносная программа может выполнять следующие команды:
CMD – передает поступившую директиву командному интерпретатору CMD;
LOADER - скачивает и запускает файл (dll – c использованием утилиты regsrv, vbs – c использованием утилиты wscript, exe — осуществляется непосредственный запуск);
UPDATE – команда обновления;
rate – задает временной интервал сеансов связи с управляющим сервером;
FIND - поиск документов по маске;
DDOS – начать DDoS-атаку методом http-flood.
Обмен данными с управляющим центром Trojan.MWZLesson осуществляет по протоколу HTTP, при этом пакеты, которые троянец отсылает на удаленный сервер, не шифруются, однако вредоносная программа использует в них специальный параметр cookie, при отсутствии которого командный сервер игнорирует поступающие от троянца запросы.
В процессе изучения внутренней архитектуры Trojan.MWZLesson вирусные аналитики компании «Доктор Веб» пришли к выводу, что этот троянец им хорошо знаком, поскольку часть его кода раньше встречалась им в составе другой вредоносной программы. Ею оказался BackDoor.Neutrino.50, урезанной и сокращенной версией которого по сути и является Trojan.MWZLesson.
BackDoor.Neutrino.50 — это многофункциональный бэкдор, использующий при своем распространении эксплойты для уязвимости CVE-2012-0158. Зафиксированы случаи загрузки этой вредоносной программы с различных взломанных злоумышленниками сайтов. При запуске BackDoor.Neutrino.50 проверяет наличие в своем окружении виртуальных машин, в случае обнаружения таковых троянец выводит сообщение об ошибке "An unknown error occurred. Error - (0x[случайное число])", после чего BackDoor.Neutrino.50 удаляет себя из системы.
Помимо функций троянца для POS-терминалов, данный бэкдор обладает возможностью красть информацию из почтового клиента Microsoft, а также учетные данные для доступа к ресурсам по протоколу FTP с использованием ряда популярных ftp-клиентов. Кроме директив, характерных для Trojan.MWZLesson, троянец BackDoor.Neutrino.50 умеет выполнять и другие команды, в частности, он способен осуществлять несколько типов DDoS-атак, удалять некоторые другие работающие на инфицированной машине вредоносные программы, а также может попытаться заразить компьютеры, доступные в локальной сети.
Сигнатуры этих троянцев добавлены в вирусные базы Dr.Web, поэтому они не представляют опасности для пользователей наших антивирусных продуктов.
Последние новости
- Технологии | Вчера, 18:15
Razer Freyja - первая в мире игровая вибронакидка на кресло с HD Haptics - Железо | Вчера, 17:45
Новый пылесос Trouver S3 Detect Aqua - Железо | Вчера, 17:15
Смарт-мониторы LG могут работать без ПК - Связь | Вчера, 16:45
Домашній інтернет від Vodafone тепер можна оплатити за допомогою нацкешбеку - Интернет | Вчера, 16:15
Google запрошує українські стартапи на Growth Academy: AI for Cybersecurity - Безопасность | Вчера, 15:45
У Мінсоцполітики попередили про фейкові посилання на отримання "1 тис." - Безопасность | Вчера, 15:15
Україна блокує російський вплив на світовий розвиток телекомунікацій - Интернет | Вчера, 14:45
OpenAI представила свою пошукову систему ChatGPT Search - Бизнес | Вчера, 14:15
"Дія" – один із найкращих винаходів світу за версією TIME
Последние материалы
- Обзоры | 27 октября, 20:58
Gelius Nexus Magnetic Wireless Charge GP-PBW100i – бездротовий 15Вт повербанк - Обзоры | 26 октября, 15:28
Gelius GP-FK001 – ліхтарик - брелок за 149 гривень - Обзоры | 22 октября, 13:04
RIVACASE 7661 – практично "армійський" рюкзак для великого міста - Фотогалереи | 16 октября, 13:29
Важкий бомбардувальний дрон використовують наші воїни проти окупанта - Фотогалереи | 15 октября, 21:29
На "Академик Вернадский" фиксируют масовое возвращение пингвинов - Обзоры | 15 октября, 10:40
Gelius Shark X KZBS-003i – захищена "розкладна" колонка з підсвіткою та вбудованим МР3 - Обзоры | 3 октября, 21:44
ColorWay USB-C 6-в-1 Type C PD 100W/USB3.0х3/HDMI 4К/RJ45 (CW-HUB02) – більше, ніж просто хаб - Обзоры | 28 сентября, 10:18
be quiet! Silent Wings PRO 4 (140 мм) – "король" серед вентиляторів - Фотогалереи | 24 сентября, 20:27
Навчання серії "Сі Бриз" успішно проведено в Болгарії
Популярные новости
- Железо | 30 октября, 10:38
Pure Base 501 та Pure Power 12 - нова серія корпусів та БЖ be quiet! 5.00 - Интернет | 30 октября, 14:50
Хмарні сервіси: як правильно вибрати платформу для бізнесу 1.00 - Технологии | Вчера, 18:15
Razer Freyja - первая в мире игровая вибронакидка на кресло с HD Haptics 0.00 - Железо | Вчера, 17:45
Новый пылесос Trouver S3 Detect Aqua 0.00 - Железо | Вчера, 17:15
Смарт-мониторы LG могут работать без ПК 0.00 - Связь | Вчера, 16:45
Домашній інтернет від Vodafone тепер можна оплатити за допомогою нацкешбеку 0.00 - Интернет | Вчера, 16:15
Google запрошує українські стартапи на Growth Academy: AI for Cybersecurity 0.00 - Безопасность | Вчера, 15:45
У Мінсоцполітики попередили про фейкові посилання на отримання "1 тис." 0.00 - Безопасность | Вчера, 15:15
Україна блокує російський вплив на світовий розвиток телекомунікацій 0.00