Очередная угроза для POS-терминалов

Тема в разделе "Новости информационной безопасности", создана пользователем лис.хвост, 16 сен 2015.

  1. лис.хвост
    Оффлайн

    лис.хвост VIP Разработчик

    Сообщения:
    630
    Симпатии:
    983
    Вирусные аналитики Dr.Web'а препарировали очередного троянца. Trojan.MWZLesson добавлен в вирусную базу 11 сентября 2015г. После своего запуска модифицирует ветку системного реестра , отвечающей за автозагрузку приложений.
    Код (Text):
    [\REGISTRY\USER\S-1-5-21-1229272821-842925246-1060284298-
    1003\Software\Microsoft\Windows\CurrentVersion\Run] 'hh.exe' = '%APPDATA%
    \WFFiUVxUQFJVYg==\hh.exe'
    Trojan.MWZLesson сканирует оперативную память зараженного устройства на наличие в ней треков банковских карт, после чего перехваченные данные передает на управляющий сервер злоумышленников при помощи POST- и GET-запросов продублированных к браузерам зараженной машины. Также умеет выполнять следующие команды:
    • CMD – передает поступившую директиву командному интерпретатору CMD;
    • LOADER - скачивает и запускает файл (dll – c использованием утилиты regsrv, vbs – c использованием утилиты wscript, exe — осуществляется непосредственный запуск);
    • UPDATE – команда обновления;
    • rate – задает временной интервал сеансов связи с управляющим сервером;
    • FIND - поиск документов по маске;
    • DDOS – начать DDoS-атаку методом http-flood.
    Обмен данными с управляющим центром троянец осуществляет по протоколу HTTP, сервер отвечает ошибкой 404 со следующим контентом:
    Код (Text):
    <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
    <HTML><HEAD><TITLE>404 Not Found</TITLE></HEAD><BODY><H1>Not Found</H1>
    The requested URL /css/tasks.php was not found on this server.</BODY></HTML>
    <!-- DEBUGc3VjY2Vzcw==ENDOF -->
    Данные между тегами DEBUG и ENDOF представляют собой сообщение, зашифрованное с использованием алгоритма base64.

    Пакеты, которые троянец отсылает на удаленный сервер, не шифруются, однако вредоносная программа использует в них специальный параметр cookie, при отсутствии которого командный сервер игнорирует поступающие от троянца запросы.

    Похищенные треки банковских карт троянец передает с помощью запроса:
    Код (Text):
    d=1&id=%ls&name=%ls&type=%ls&data=%S&p=%ls
    type - Track1 или Track2;
    data - данные трека;
    p - имя процесса.

    В процессе изучения Trojan.MWZLesson специалисты Dr.Web'а пришли к выводу, что троянец является модификацией уже знакомого им BackDoor.Neutrino.50 (добавлен в базу 02.05.2015).
    BackDoor.Neutrino.50 — это многофункциональный бэкдор. При своем распространении использует эксплойты для уязвимости CVE-2012-0158. Загрузка BackDoor.Neutrino.50 осуществляется с взломанных злоумышленниками сайтов. При запуске BackDoor.Neutrino.50 проверяет наличие в своем окружении виртуальных машин, в случае обнаружения таковых троянец выводит сообщение об ошибке "An unknown error occurred. Error - (0x[случайное число])", после чего BackDoor.Neutrino.50 удаляет себя из системы.

     
    Последнее редактирование: 16 сен 2015
    ScriptMakeR, Kиpилл, orderman и 2 другим нравится это.

Поделиться этой страницей