Новый троян для POS-терминалов

От компании Доктор Веб поступило заявление об итогах исследования троянской программы, которая способна заразить POS-терминалы. Как оказалось, это модификация другого вируса, уже знакомого аналитикам компании.

Как действует вирус

POS-троян, который добавлен в базы вирусов Dr.Web с именем Trojan.MWZLesson, регистрирует после запуска себя в ветви системного реестра, которая ответственна за автоматическую загрузку приложений. В архитектуре вируса имеется модуль, который сканирует оперативную память прибора, получившего инфекцию, на наличие треков карт банков.

Данный код позаимствован у другой программы для заражения терминалов, известной как Trojan.PWS.Dexter. Найденные треки и другие перехваченные данные вирус передает на сервер управления.

Принцип работы

Новый троян умеет перехватывать POST- и GET-запросы, которые отправляются с зараженного устройства браузерами Google Chrome, Mozilla FF, MS Internet Explorer. Он дублирует их на сервер, принадлежащий злоумышленникам.

Обмен информацией с центром управления проводится через протокол http, а пакеты, которые отсылает троян на удаленный сервер, не шифруются, но в них есть особый параметр cookie. Если его нет, то командный сервер игнорирует запрос.

В ходе изучения внутреннего строения Trojan.MWZLesson аналитики компании пришли к выводу, что данный троян им отлично знаком, часть его кода ранее встречалась в составе другого вредоносного ПО. По сути, он представляет его урезанную версию.

Новый троян не опасен для EFT POS-устройств

Эксперты отмечают, что POS-терминалы, которые отмечаются в статье, являются классом устройств, широко используемых для ККМ. Для них характерным является применение обычных операционных систем и ПК. Для EFT POS-терминалов данная опасность не угрожает.

Все потому, что данные устройства применяют специальную операционную систему, а любой файл или программа должна иметь подпись по специальной процедуре. Подобное устройство сложнее заразить вирусом.