25.03.2014

Współczesne zagrożenia nie są wymierzone wyłącznie w osoby prywatne. Również instytucje finansowe przyciągają uwagę cyberprzestępców, którzy tworzą złośliwe aplikacje przeznaczone do ataków m.in. na bankomaty i terminale płatnicze. Firma Doctor Web ostrzega przed najnowszym Trojanem tego rodzaju, o nazwie Trojan.PWS.OSMP.21. Zagraża on bankomatom należącym do jednego z najpopularniejszych w Rosji systemów płatniczych.

Trojan.PWS.OSMP.21 rozprzestrzenia się w postaci biblioteki łączonej dynamicznie poprzez zainfekowane pamięci USB (flashdrive). Równocześnie zidentyfikowany został dropper dla tego Trojana (czyli program wykorzystywany w procesie instalacji złośliwego oprogramowania po to, aby nie zostało ono wykryte przez skanery antywirusowe). Po zainfekowaniu systemu operacyjnego bankomatu, biblioteka Trojana jest kopiowana do folderu Application Data jako win.sxs. Służy ona m.in. do modyfikowania rejestru systemu Windows w czasie uruchamiania komputera, przy czym dodany wpis do rejestru nosi nazwę Taskbar.

Następnie, dzięki innej złośliwej funkcjonalności, Trojan szuka uruchomionego procesu związanego z obsługą operacji finansowych i jeśli go nie znajdzie, inicjuje inną procedurę, która infekuje pamięci USB. Jeśli szukana aplikacja jest aktywna, Trojan.PWS.OSMP.21 próbuje pobrać plik config.dat i pliki dzienników z folderu zawierającego odpowiedni plik wykonywalny i gromadzi informacje o dysku twardym. Następnie wszystkie dane są przesyłane w zaszyfrowanej formie na serwer cyberprzestępców. Jeśli transfer danych się powiedzie, Trojan sam się usuwa.

Sygnatura Trojan.PWS.OSMP.21 została dodana do bazy wirusów Dr.Web 14 lutego br. Programy antywirusowe Doctor Web z powodzeniem wykrywają i usuwają ten rodzaj złośliwego oprogramowania.