Defend what you create

Other Resources

Zamknij

Library
My library

+ Add to library

Profile

Back to news

Trojan.MWZLesson — trojan dla terminali POS

16 września 2015

Od wielu lat terminale POS pozostają jednym z ulubionych celów dla twórców wirusów. Ponieważ ta technologia jest wykorzystywana przez wiele organizacji handlowych na całym świecie do realizacji płatności z użyciem kart bankowych, cyberprzestępcy nie mogli pozostawić jej poza kręgiem swoich zainteresowań. Ostatnio analitycy bezpieczeństwa Doctor Web przeanalizowali kolejnego trojana, który potrafi infekować terminale — ten trojan okazał się być modyfikacją innego złośliwego programu, dobrze znanego naszym analitykom wirusów.

Tuż po uruchomieniu, trojan zaprojektowany do infekowania terminali POS i nazwany Trojan.MWZLesson, modyfikuje gałąź rejestru odpowiedzialną za automatyczne uruchamianie programów. Co więcej, zawiera on moduł sprawdzający pamięć RAM zainfekowanego urządzenia pod kątem danych kart bankowych. Ten kod został zapożyczony z innego trojana zaprojektowanego dla terminali POS i nazwanego Trojan.PWS.Dexter. To malware wysyła wszystkie pozyskane dane kart bankowych i inne przechwycone informacje na serwer kontrolno-zarządzający.

Trojan.MWZLesson potrafi przechwytywać żądania GET i POST wysyłane z przeglądarek zainfekowanych maszyn (Firefox, Chrome lub Internet Explorer). Żądania są przekazywane na serwer kontrolno-zarządzający uruchomiony przez cyberprzestępców. Poza tym ten złośliwy program potrafi wykonywać następujące komendy:

  • CMD — przekazanie polecenia do interpretera poleceń (cmd.exe)
  • LOADER — pobranie i uruchomienie pliku (dll — z użyciem narzędzia regsrv, vbs — z użyciem narzędzia wscript, exe — uruchomienie bezpośrednie)
  • UPDATE — wykonanie samodzielnej aktualizacji rate — ustawienie interwału czasowego dla sesji komunikacyjnych z serwerem kontrolno zarządzającym
  • FIND — wyszukiwanie dokumentów z użyciem maski
  • DDOS — zestawienie ataku HTTP Flood

Trojan.MWZLesson komunikuje się z serwerem poprzez protokół HTTP; co więcej, wszystkie pakiety wysyłane przez trojana nie są szyfrowane, jednak złośliwy program używa specjalnego parametru cookie, przy braku którego serwer ignoruje otrzymany pakiet.

Podczas analizowania architektury wirusa Trojan.MWZLesson, analitycy bezpieczeństwa Doctor Web doszli do wniosku, że ten trojan jest, tak właściwie, “upośledzoną” wersją złośliwego programu nazwanego BackDoor.Neutrino.50, ponieważ część jego kodu została użyta do stworzenia tej nowej modyfikacji.

BackDoor.Neutrino.50 to wielokomponentowy backdoor wykorzystujący podatność CVE-2012-0158. Było parę przypadków, w których ten złośliwy program był pobrany ze stron zhakowanych przez cyberprzestępców. Uruchomiony, BackDoor.Neutrino.50 sprawdza swoje środowisko pod kątem obecności maszyn wirtualnych. Jeśli wynik tego skanowania jest pozytywny, trojan wyświetla następujący komunikat o błędzie: “Wystąpił nieznany błąd. Błąd - (0x[losowa liczba])”. Następnie BackDoor.Neutrino.50 inicjuje proces samodzielnego usunięcia się z systemu.

Oprócz zdolności do działania na terminalach POS, ten trojan potrafi wykradać informacje zapisane przez klienta Microsoft Mail i szczegóły konta użytego do uzyskania dostępu do zasobów poprzez protokół FTP z użyciem kilku dobrze znanych klientów FTP. W przeciwieństwie do Trojan.MWZLesson, wirus BackDoor.Neutrino.50 potrafi wykonywać więcej poleceń — w szczególności potrafi zestawić kilka typów ataków DDoS, usunąć kilka innych złośliwych programów znalezionych w systemie, a nawet potrafi próbować infekować komputery w sieci LAN.

Sygnatury tych trojanów zostały dodane do bazy wirusów Dr.Web. Dlatego te złośliwe programy nie stanowią zagrożenia dla naszych użytkowników.

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

The Russian developer of Dr.Web anti-viruses
Doctor Web has been developing anti-virus software since 1992
Dr.Web is trusted by users around the world in 200+ countries
The company has delivered an anti-virus as a service since 2007
24/7 tech support

Dr.Web © Doctor Web
2003 — 2020

Doctor Web to rosyjski producent oprogramowania antywirusowego Dr.Web. Rozwijamy nasze produkty od 1992 roku.

125124, Rosja, Moskwa, 3. ulica Jamskiego Pola 2-12A