Специалисты компании «Доктор Веб» исследовали очередного троянца, умеющего заражать платежные терминалы, который на поверку оказался модификацией другой вредоносной программы, хорошо знакомой нашим вирусным аналитикам.
POS-троянец, добавленный в вирусные базы Dr.Web под именем Trojan.MWZLesson, после своего запуска регистрирует себя в ветви системного реестра, отвечающей за автозагрузку приложений. В его архитектуре предусмотрен модуль, сканирующий оперативную память инфицированного устройства на наличие в ней треков банковских карт. Этот код злоумышленники позаимствовали у другой предназначенной для заражения POS-терминалов вредоносной программы, известной под именем Trojan.PWS.Dexter. Обнаруженные треки и другие перехваченные данные троянец передает на управляющий сервер.
Trojan.MWZLesson умеет перехватывать GET- и POST-запросы, отправляемые с зараженной машины браузерами Mozilla Firefox, Google Chrome или Microsoft Internet Explorer, – эти запросы троянец дублирует на принадлежащий злоумышленникам управляющий сервер. Кроме того, данная вредоносная программа может выполнять следующие команды:
CMD – передает поступившую директиву командному интерпретатору CMD;
LOADER - скачивает и запускает файл (dll – c использованием утилиты regsrv, vbs – c использованием утилиты wscript, exe — осуществляется непосредственный запуск);
UPDATE – команда обновления;
rate – задает временной интервал сеансов связи с управляющим сервером;
FIND - поиск документов по маске;
DDOS – начать DDoS-атаку методом http-flood.
Обмен данными с управляющим центром Trojan.MWZLesson осуществляет по протоколу HTTP, при этом пакеты, которые троянец отсылает на удаленный сервер, не шифруются, однако вредоносная программа использует в них специальный параметр cookie, при отсутствии которого командный сервер игнорирует поступающие от троянца запросы.
В процессе изучения внутренней архитектуры Trojan.MWZLesson вирусные аналитики компании «Доктор Веб» пришли к выводу, что этот троянец им хорошо знаком, поскольку часть его кода раньше встречалась им в составе другой вредоносной программы. Ею оказался BackDoor.Neutrino.50, урезанной и сокращенной версией которого по сути и является Trojan.MWZLesson.
BackDoor.Neutrino.50 — это многофункциональный бэкдор, использующий при своем распространении эксплойты для уязвимости CVE-2012-0158. Зафиксированы случаи загрузки этой вредоносной программы с различных взломанных злоумышленниками сайтов. При запуске BackDoor.Neutrino.50 проверяет наличие в своем окружении виртуальных машин, в случае обнаружения таковых троянец выводит сообщение об ошибке "An unknown error occurred. Error - (0x[случайное число])", после чего BackDoor.Neutrino.50 удаляет себя из системы.
Помимо функций троянца для POS-терминалов, данный бэкдор обладает возможностью красть информацию из почтового клиента Microsoft, а также учетные данные для доступа к ресурсам по протоколу FTP с использованием ряда популярных ftp-клиентов. Кроме директив, характерных для Trojan.MWZLesson, троянец BackDoor.Neutrino.50 умеет выполнять и другие команды, в частности, он способен осуществлять несколько типов DDoS-атак, удалять некоторые другие работающие на инфицированной машине вредоносные программы, а также может попытаться заразить компьютеры, доступные в локальной сети.
Сигнатуры этих троянцев добавлены в вирусные базы Dr.Web, поэтому они не представляют опасности для пользователей наших антивирусных продуктов.
Последние новости
- Технологии | Позавчера, 15:15
В Турции заменят Visa и Mastercard на национальные карты Troy - Бизнес | Позавчера, 14:45
За месяц в Испании открылось почти 10 тысяч новых компаний - Бизнес | Позавчера, 13:45
У яких випадках українці в Польщі втрачають статус UKR? - Технологии | Позавчера, 13:15
Украина рассматривает возможность интегрировать украинское ПВО в NASAMS - Технологии | Позавчера, 12:45
Календар обов'язкових щеплень зміниться з 2026 року, — МОЗ - Связь | Позавчера, 12:15
У lifecell анонсували акцію для всіх, хто встигне перенести номер до 31 січня - Бизнес | Позавчера, 11:45
Помер режисер Девід Лінч - Безопасность | Позавчера, 11:15
Британия может разместить свои военные базы в Украине - Технологии | Позавчера, 10:45
Єдина в Україні Tesla Cybertruck належить дніпрянці
Последние материалы
- Фотогалереи | Позавчера, 12:09
Перше курортне місто відкрили в Північній Кореї - Фотогалереи | 16 января, 22:48
В гараже Асада в Дамаске обнаружили коллекцию элитных автомобилей - Аналитика | 11 января, 11:17
Дайджест найцікавішого за тиждень №1 – новинки EcoFlow та 30 тисяч FPV-дронів з Лондона для ЗСУ - Обзоры | 8 января, 15:03
ColorWay CW-4332 - замшева серветка для сушки та полірування авто - Обзоры | 7 января, 14:25
ColorWay CW-2417 - мікрофіброва рукавичка для миття автомобіля - Обзоры | 30 декабря, 8:12
Gelius BoomBox X GP-BS500x – захищена зовнішня колонка з підсвіткою та вбудованим МР3-плеєром - Фотогалереи | 20 декабря, 23:17
БПЛА РФ знову атакували "Розетка" - Фотогалереи | 20 декабря, 12:48
Незвичайний мод на базі Dark Base Pro 901 White та Silent Loop 200 - Интервью | 19 декабря, 14:26
Штучний інтелект без бар'єрів: інноваційна оптимізація LLM від експертки з NLP Олени Сокол
Популярные новости
- Софт | 15 января, 13:45
OPPO презентувала ColorOS 15 5.00 - Технологии | Позавчера, 15:15
В Турции заменят Visa и Mastercard на национальные карты Troy 0.00 - Бизнес | Позавчера, 14:45
За месяц в Испании открылось почти 10 тысяч новых компаний 0.00 - Бизнес | Позавчера, 13:45
У яких випадках українці в Польщі втрачають статус UKR? 0.00 - Технологии | Позавчера, 13:15
Украина рассматривает возможность интегрировать украинское ПВО в NASAMS 0.00 - Технологии | Позавчера, 12:45
Календар обов'язкових щеплень зміниться з 2026 року, — МОЗ 0.00 - Связь | Позавчера, 12:15
У lifecell анонсували акцію для всіх, хто встигне перенести номер до 31 січня 0.00 - Бизнес | Позавчера, 11:45
Помер режисер Девід Лінч 0.00 - Безопасность | Позавчера, 11:15
Британия может разместить свои военные базы в Украине 0.00