Троянская угроза платежным терминалам

Компания «Доктор Веб» сообщила об обнаружении троянца Trojan.PWS.OSMP.21, заражающего терминалы одной из наиболее популярных в России платежных систем.

Троянская программа распространяется в виде динамической библиотеки, которая проникает в терминал с использованием инфицированного флэш-накопителя. Также для этой угрозы обнаружена программа-дроппер. После проникновения в платежный терминал вредоносная библиотека копируется в папку Application Data под именем win.sxs и с использованием одной из своих функций прописывает себя в отвечающую за автозагрузку ветвь системного реестра Windows под именем Taskbar.

Затем другая функция ищет в системе запущенный процесс, относящийся к платежному функционалу терминала, и, если не обнаруживает его, запускает процедуру заражения флэш-накопителей. Если же искомое приложение оказывается активным, Trojan.PWS.OSMP.21 пытается получить из папки, в которой размещается исполняемый модуль данного приложения, конфигурационный файл config.dat, файлы журналов, а также собирает информацию о жестком диске устройства, после чего все эти данные в зашифрованном виде передаются на принадлежащий злоумышленникам сервер. В случае успешного завершения передачи троянец самоудаляется.

Сигнатура Trojan.PWS.OSMP.21 была добавлена в вирусные базы Dr.Web, это вредоносное приложение обнаруживается и удаляется антивирусными программами «Доктор Веб».