Обнаружен угрожающий терминалам для приема пластиковых карт троянец

POS-терминалы долгое время остаются лакомым куском для создателей вирусов, так как используются торговыми организациями по всему миру для осуществления платежей с применением банковских пластиковых карт.

В настоящее время специалисты компании «Доктор Веб» изучили нового троянца, который способен заражать платежные терминалы.

В вирусные базы данный POS-троянец был добавлен под именем Trojan.MWZLesson.

После своего запуска он регистрирует себя в ветви системного реестра, которая отвечает за автозагрузку приложений. В его архитектуре имеется модуль, сканирующий оперативную память устройства на наличие в ней треков банковских карт. Данный код был позаимствован злоумышленниками у другой вредоносной программы, известной под именем Trojan.PWS.Dexter. Обнаруженные треки, а также другие данные троянец передает на управляющий сервер.

Trojan.MWZLesson может перехватывать GET- и POST-запросы, отправляемые с зараженной машины браузерами Microsoft Internet Explorer, Mozilla Firefox и Google Chrome. Троянец дублирует запросы на принадлежащий злоумышленникам управляющий сервер.

Вредоносная программа также способна выполнять следующие команды:
- LOADER - скачивает и запускает файл (dll – c использованием утилиты regsrv, vbs – c использованием утилиты wscript, exe — осуществляется непосредственный запуск);
- CMD – передает поступившую директиву командному интерпретатору CMD;
- UPDATE – команда обновления;
- FIND - поиск документов по маске;
- DDOS – начать DDoS-атаку методом http-flood.
- rate – задает временной интервал сеансов связи с управляющим сервером;

С управляющим центром обмен данными осуществляется по протоколу HTTP, при этом отсылаемые на удаленный сервер пакеты не шифруются, однако вредоносная программа использует в них специальный параметр cookie, при отсутствии которого командный сервер игнорирует поступающие от троянца запросы.

Специалисты отмечают, что часть кода Trojan.MWZLesson раньше уже встречалась в составе другой вредоносной программы — BackDoor.Neutrino.50, которая представляет собой многофункциональный бэкдор, использующий при распространении эксплойты для уязвимости CVE-2012-0158.