Специалисты компании «Доктор Веб» исследовали очередного троянца, умеющего заражать платежные терминалы, который на поверку оказался модификацией другой вредоносной программы, хорошо знакомой нашим вирусным аналитикам.
POS-троянец, добавленный в вирусные базы Dr.Web под именем Trojan.MWZLesson, после своего запуска регистрирует себя в ветви системного реестра, отвечающей за автозагрузку приложений. В его архитектуре предусмотрен модуль, сканирующий оперативную память инфицированного устройства на наличие в ней треков банковских карт. Этот код злоумышленники позаимствовали у другой предназначенной для заражения POS-терминалов вредоносной программы, известной под именем Trojan.PWS.Dexter. Обнаруженные треки и другие перехваченные данные троянец передает на управляющий сервер.
Trojan.MWZLesson умеет перехватывать GET- и POST-запросы, отправляемые с зараженной машины браузерами Mozilla Firefox, Google Chrome или Microsoft Internet Explorer, – эти запросы троянец дублирует на принадлежащий злоумышленникам управляющий сервер. Кроме того, данная вредоносная программа может выполнять следующие команды:
CMD – передает поступившую директиву командному интерпретатору CMD;
LOADER - скачивает и запускает файл (dll – c использованием утилиты regsrv, vbs – c использованием утилиты wscript, exe — осуществляется непосредственный запуск);
UPDATE – команда обновления;
rate – задает временной интервал сеансов связи с управляющим сервером;
FIND - поиск документов по маске;
DDOS – начать DDoS-атаку методом http-flood.
Обмен данными с управляющим центром Trojan.MWZLesson осуществляет по протоколу HTTP, при этом пакеты, которые троянец отсылает на удаленный сервер, не шифруются, однако вредоносная программа использует в них специальный параметр cookie, при отсутствии которого командный сервер игнорирует поступающие от троянца запросы.
В процессе изучения внутренней архитектуры Trojan.MWZLesson вирусные аналитики компании «Доктор Веб» пришли к выводу, что этот троянец им хорошо знаком, поскольку часть его кода раньше встречалась им в составе другой вредоносной программы. Ею оказался BackDoor.Neutrino.50, урезанной и сокращенной версией которого по сути и является Trojan.MWZLesson.
BackDoor.Neutrino.50 — это многофункциональный бэкдор, использующий при своем распространении эксплойты для уязвимости CVE-2012-0158. Зафиксированы случаи загрузки этой вредоносной программы с различных взломанных злоумышленниками сайтов. При запуске BackDoor.Neutrino.50 проверяет наличие в своем окружении виртуальных машин, в случае обнаружения таковых троянец выводит сообщение об ошибке "An unknown error occurred. Error - (0x[случайное число])", после чего BackDoor.Neutrino.50 удаляет себя из системы.
Помимо функций троянца для POS-терминалов, данный бэкдор обладает возможностью красть информацию из почтового клиента Microsoft, а также учетные данные для доступа к ресурсам по протоколу FTP с использованием ряда популярных ftp-клиентов. Кроме директив, характерных для Trojan.MWZLesson, троянец BackDoor.Neutrino.50 умеет выполнять и другие команды, в частности, он способен осуществлять несколько типов DDoS-атак, удалять некоторые другие работающие на инфицированной машине вредоносные программы, а также может попытаться заразить компьютеры, доступные в локальной сети.
Сигнатуры этих троянцев добавлены в вирусные базы Dr.Web, поэтому они не представляют опасности для пользователей наших антивирусных продуктов.
Последние новости
- Гаджеты | Позавчера, 14:15
OPPO Reno11F приходить в Європу - Технологии | Позавчера, 13:45
Украина может получить 38 миллиардов долларов внешней помощи в 2024 году — НБУ - Технологии | Позавчера, 13:15
Вашингтон планирует предоставить ВСУ пакет помощи на $6 млрд - Технологии | Позавчера, 12:45
Иран максимально близок к созданию ядерного оружия - Технологии | Позавчера, 12:15
В Грузии открыли первую плавучую солнечную электростанцию - Технологии | Позавчера, 11:45
Впродовж тижня на Харківщині розмінували понад 276 гектарів території - Интернет | Позавчера, 11:15
Опрос: 75% азербайджанцев выступают за закрытие TikTok - Бизнес | Позавчера, 10:45
Страны ЕС вернулись к энергоресурсам РФ из-за атак хуситов в Красном море - Технологии | Позавчера, 10:15
Іспанія надасть Україні партію ракет для Patriot, - ЗМІ
Последние материалы
- Обзоры | 22 апреля, 13:49
Gembird WM-80ST-05 – потужний кронштейн з гарним розворотом та нахилом - Аналитика | 17 апреля, 10:45
Мікрогенерація - шлях до автономності родин. Наявні можливості в Україні - до 10 ГВт на місяць. - Обзоры | 17 апреля, 9:07
Gelius AeroWave S (GP-PCH01) – обігрівач для "вилазок" на природу - Обзоры | 5 апреля, 21:22
Bloody MR720 – ігрова гарнітура з RGB та трьома інтерфейсами підключення - Аналитика | 5 апреля, 9:47
Інноваційні рішення в галузі хостингу у 2024 - Обзоры | 3 апреля, 13:12
Что ожидать от очков смешанной реальности Apple Vision Pro - Обзоры | 2 апреля, 22:15
RIVACASE 8068 (Black) Bundle – твій комплект чемпіона! - Обзоры | 1 апреля, 6:27
Maxxter MX-CHR-1224V10A - мікропроцесорний зарядний пристрій для АКБ 12-24В - Обзоры | 24 марта, 16:18
Gelius Pro Smart Rope Kangaroo 2 (GP-SR002 Black) – твоя особиста скакалка з дисплеєм
Популярные новости
- Гаджеты | Позавчера, 14:15
OPPO Reno11F приходить в Європу 0.00 - Технологии | Позавчера, 13:45
Украина может получить 38 миллиардов долларов внешней помощи в 2024 году — НБУ 0.00 - Технологии | Позавчера, 13:15
Вашингтон планирует предоставить ВСУ пакет помощи на $6 млрд 0.00 - Технологии | Позавчера, 12:45
Иран максимально близок к созданию ядерного оружия 0.00 - Технологии | Позавчера, 12:15
В Грузии открыли первую плавучую солнечную электростанцию 0.00 - Технологии | Позавчера, 11:45
Впродовж тижня на Харківщині розмінували понад 276 гектарів території 0.00 - Интернет | Позавчера, 11:15
Опрос: 75% азербайджанцев выступают за закрытие TikTok 0.00 - Бизнес | Позавчера, 10:45
Страны ЕС вернулись к энергоресурсам РФ из-за атак хуситов в Красном море 0.00 - Технологии | Позавчера, 10:15
Іспанія надасть Україні партію ракет для Patriot, - ЗМІ 0.00