Троянец для POS-терминалов
Компания «Доктор Веб» сообщила о результатах исследования троянского ПО, способного заражать платежные терминалы. Как выяснилось, это модификация другой вредоносной программы, уже знакомой вирусным аналитикам компании.
POS-троянец, добавленный в вирусные базы Dr.Web под именем Trojan.MWZLesson, после запуска регистрирует себя в ветви системного реестра, отвечающей за автозагрузку приложений. В его архитектуре предусмотрен модуль, сканирующий оперативную память инфицированного устройства на наличие в ней треков банковских карт. Этот код позаимствован у другой предназначенной для заражения POS-терминалов программы, известной под именем Trojan.PWS.Dexter. Обнаруженные треки и другие перехваченные данные троянец передает на управляющий сервер.
Trojan.MWZLesson умеет перехватывать GET- и POST-запросы, отправляемые с зараженной машины браузерами Mozilla Firefox, Google Chrome или Microsoft Internet Explorer, дублируя их на принадлежащий злоумышленникам управляющий сервер. Кроме того, вредоносная программа может выполнять следующие команды:
- CMD – передает поступившую директиву командному интерпретатору CMD;
- LOADER – скачивает и запускает файл (dll – c использованием утилиты regsrv, vbs – c использованием утилиты wscript, exe — осуществляется непосредственный запуск);
- UPDATE – команда обновления;
- rate – задает временной интервал сеансов связи с управляющим сервером;
- FIND – поиск документов по маске;
- DDOS – начать DDoS-атаку методом http-flood.
Обмен данными с управляющим центром ведется по протоколу HTTP, пакеты, которые троянец отсылает на удаленный сервер, не шифруются, однако в них используется специальный параметр cookie, при отсутствии которого командный сервер игнорирует поступающие запросы.
В процессе изучения внутренней архитектуры Trojan.MWZLesson вирусные аналитики «Доктор Веб» пришли к выводу, что этот троянец им хорошо знаком, часть его кода раньше встречалась в составе другой вредоносной программы – BackDoor.Neutrino.50 (Trojan.MWZLesson по сути является ее урезанной версией).
BackDoor.Neutrino.50 представляет собой многофункциональный бэкдор, использующий при распространении эксплойты для уязвимости CVE-2012-0158. Зафиксированы случаи загрузки этой программы с различных взломанных злоумышленниками сайтов. При запуске BackDoor.Neutrino.50 проверяет наличие в своем окружении виртуальных машин и в случае их обнаружения выводит сообщение об ошибке: An unknown error occurred. Error — (0x[случайное число]), после чего удаляет себя из системы.
Помимо функций троянца для POS-терминалов, этот бэкдор способен красть информацию из почтового клиента Microsoft, а также учетные данные для доступа к ресурсам по протоколу FTP с использованием ряда популярных ftp-клиентов. Кроме директив, характерных для Trojan.MWZLesson, троянец BackDoor.Neutrino.50 умеет выполнять и другие команды, в частности, может вести несколько типов DDoS-атак, удалять некоторые другие работающие на инфицированной машине вредоносные программы, а также может попытаться заразить компьютеры, доступные в локальной сети.