Специалисты компании «Доктор Веб» исследовали очередного троянца, умеющего заражать платежные терминалы, который на поверку оказался модификацией другой вредоносной программы, хорошо знакомой нашим вирусным аналитикам.
POS-троянец, добавленный в вирусные базы Dr.Web под именем Trojan.MWZLesson, после своего запуска регистрирует себя в ветви системного реестра, отвечающей за автозагрузку приложений. В его архитектуре предусмотрен модуль, сканирующий оперативную память инфицированного устройства на наличие в ней треков банковских карт. Этот код злоумышленники позаимствовали у другой предназначенной для заражения POS-терминалов вредоносной программы, известной под именем Trojan.PWS.Dexter. Обнаруженные треки и другие перехваченные данные троянец передает на управляющий сервер.
Trojan.MWZLesson умеет перехватывать GET- и POST-запросы, отправляемые с зараженной машины браузерами Mozilla Firefox, Google Chrome или Microsoft Internet Explorer, – эти запросы троянец дублирует на принадлежащий злоумышленникам управляющий сервер. Кроме того, данная вредоносная программа может выполнять следующие команды:
CMD – передает поступившую директиву командному интерпретатору CMD;
LOADER - скачивает и запускает файл (dll – c использованием утилиты regsrv, vbs – c использованием утилиты wscript, exe — осуществляется непосредственный запуск);
UPDATE – команда обновления;
rate – задает временной интервал сеансов связи с управляющим сервером;
FIND - поиск документов по маске;
DDOS – начать DDoS-атаку методом http-flood.
Обмен данными с управляющим центром Trojan.MWZLesson осуществляет по протоколу HTTP, при этом пакеты, которые троянец отсылает на удаленный сервер, не шифруются, однако вредоносная программа использует в них специальный параметр cookie, при отсутствии которого командный сервер игнорирует поступающие от троянца запросы.
В процессе изучения внутренней архитектуры Trojan.MWZLesson вирусные аналитики компании «Доктор Веб» пришли к выводу, что этот троянец им хорошо знаком, поскольку часть его кода раньше встречалась им в составе другой вредоносной программы. Ею оказался BackDoor.Neutrino.50, урезанной и сокращенной версией которого по сути и является Trojan.MWZLesson.
BackDoor.Neutrino.50 — это многофункциональный бэкдор, использующий при своем распространении эксплойты для уязвимости CVE-2012-0158. Зафиксированы случаи загрузки этой вредоносной программы с различных взломанных злоумышленниками сайтов. При запуске BackDoor.Neutrino.50 проверяет наличие в своем окружении виртуальных машин, в случае обнаружения таковых троянец выводит сообщение об ошибке "An unknown error occurred. Error - (0x[случайное число])", после чего BackDoor.Neutrino.50 удаляет себя из системы.
Помимо функций троянца для POS-терминалов, данный бэкдор обладает возможностью красть информацию из почтового клиента Microsoft, а также учетные данные для доступа к ресурсам по протоколу FTP с использованием ряда популярных ftp-клиентов. Кроме директив, характерных для Trojan.MWZLesson, троянец BackDoor.Neutrino.50 умеет выполнять и другие команды, в частности, он способен осуществлять несколько типов DDoS-атак, удалять некоторые другие работающие на инфицированной машине вредоносные программы, а также может попытаться заразить компьютеры, доступные в локальной сети.
Сигнатуры этих троянцев добавлены в вирусные базы Dr.Web, поэтому они не представляют опасности для пользователей наших антивирусных продуктов.
Последние новости
- Бизнес | Вчера, 17:15
На Харківщині будують укриття для школи, що витримає удар С-300 - Технологии | Вчера, 16:45
Eurofighter патрулюватимуть польське небо з 2025 року - Безопасность | Вчера, 16:15
Людям із залежністю від азартних ігор не будуть видавати кредити - Безопасность | Вчера, 15:45
Польща передала Україні 45-й пакет військової допомоги, — Rzeczpospolita - Технологии | Вчера, 15:15
Запуск синей ветки метро осенью под вопросом, - эксперт Олег Попенко - Технологии | Вчера, 14:45
На вооружение ВМС Израиля поступили 2 новых десантных корабля - Бизнес | Вчера, 14:15
Al-Jarida: КСИР снабжает Хизбаллу электромагнитными бомбами - Бизнес | Вчера, 13:45
Чверті працюючих в Україні грошей вистачає тільки на їжу, — опитування - Технологии | Вчера, 13:15
В РФ розбився ударний вертоліт Мі-28 - екіпаж загинув
Последние материалы
- Обзоры | 22 июля, 7:57
Gelius Transformer 2 GP-LTL004 – лампа з дисплеєм та бездротовою зарядкою - Фотогалереи | 20 июля, 23:10
Первый в Украине дом на 3D-принтере построили в Ирпене - Аналитика | 18 июля, 14:00
Бекапи і захист бізнесу: що потрібно знати, якщо ви тільки про це почали думати - Фотогалереи | 16 июля, 8:35
Вчера в Мадриде испанцы праздновали победу своей сборной на Евро 2024 - Обзоры | 15 июля, 13:59
Портативна LED лампа з датчиком руху (L1005) - забудьте за вимикач! - Обзоры | 9 июля, 15:41
Термосумка NEOR 10L - для пікніків на двох - Обзоры | 9 июля, 11:51
Ajax LightSwitch (2-gang) Jeweller - бездротовий розумний двоклавішний вимикач світла - Обзоры | 3 июля, 12:19
Ajax DoorProtect Jeweller – бездротовий датчик відкриття дверей - Обзоры | 29 июня, 11:54
Gelius GP-PK006 – захищений годинник, що знає, де ваша дитина
Популярные новости
- Связь | Позавчера, 22:39
OPPO та Ericsson підписали угоду у сфері перехресного ліцензування 5G 5.00 - Интернет | Вчера, 11:45
В РФ снизят скорость загрузки YouTube 1.00 - Софт | Позавчера, 20:05
Основні мови програмування: вибір і застосування в розробці 1.00 - Бизнес | Вчера, 17:15
На Харківщині будують укриття для школи, що витримає удар С-300 0.00 - Технологии | Вчера, 16:45
Eurofighter патрулюватимуть польське небо з 2025 року 0.00 - Безопасность | Вчера, 16:15
Людям із залежністю від азартних ігор не будуть видавати кредити 0.00 - Безопасность | Вчера, 15:45
Польща передала Україні 45-й пакет військової допомоги, — Rzeczpospolita 0.00 - Технологии | Вчера, 15:15
Запуск синей ветки метро осенью под вопросом, - эксперт Олег Попенко 0.00 - Технологии | Вчера, 14:45
На вооружение ВМС Израиля поступили 2 новых десантных корабля 0.00