Trojan.MWZLesson — очередной троян для POS-терминалов

Безопасность
мобильная версия
, Текст: Татьяна Короткова

Специалисты «Доктор Веб» исследовали очередного трояна, умеющего заражать POS-терминалы, который на поверку оказался модификацией другой вредоносной программы, хорошо знакомой вирусным аналитикам компании. Как сообщили CNews в «Доктор Веб», POS-троян, добавленный в вирусные базы Dr.Web под именем Trojan.MWZLesson, после своего запуска регистрирует себя в ветви системного реестра, отвечающей за автозагрузку приложений. В его архитектуре предусмотрен модуль, сканирующий оперативную память инфицированного устройства на наличие в ней треков банковских карт. Этот код злоумышленники позаимствовали у другой, предназначенной для заражения POS-терминалов, вредоносной программы, известной под именем Trojan.PWS.Dexter. Обнаруженные треки и другие перехваченные данные троян передает на управляющий сервер.

Trojan.MWZLesson умеет перехватывать GET- и POST-запросы, отправляемые с зараженной машины браузерами Mozilla Firefox, Google Chrome или Microsoft Internet Explorer — эти запросы троян дублирует на принадлежащий злоумышленникам управляющий сервер. Кроме того, данная вредоносная программа может выполнять следующие команды: CMD — передает поступившую директиву командному интерпретатору CMD; LOADER — скачивает и запускает файл (dll — c использованием утилиты regsrv, vbs — c использованием утилиты wscript, exe — осуществляется непосредственный запуск); UPDATE — команда обновления; rate — задает временной интервал сеансов связи с управляющим сервером; FIND — поиск документов по маске; DDOS — начать DDoS-атаку методом http-flood.

Обмен данными с управляющим центром Trojan.MWZLesson осуществляет по протоколу HTTP. При этом пакеты, которые троян отсылает на удаленный сервер, не шифруются. Однако вредоносная программа использует в них специальный параметр cookie, при отсутствии которого командный сервер игнорирует поступающие от трояна запросы, отметили в «Доктор Веб».

В процессе изучения внутренней архитектуры Trojan.MWZLesson вирусные аналитики «Доктор Веб» пришли к выводу, что этот троян им хорошо знаком, поскольку часть его кода раньше встречалась им в составе другой вредоносной программы. Ею оказался BackDoor.Neutrino.50, урезанной и сокращенной версией которого по сути и является Trojan.MWZLesson, пояснили в компании.

BackDoor.Neutrino.50 — это многофункциональный бэкдор, использующий при своем распространении эксплойты для уязвимости CVE-2012-0158. Зафиксированы случаи загрузки этой вредоносной программы с различных взломанных злоумышленниками сайтов, рассказали в «Доктор Веб». При запуске BackDoor.Neutrino.50 проверяет наличие в своем окружении виртуальных машин, а в случае обнаружения таковых выводит сообщение об ошибке «An unknown error occurred. Error - (0x[случайное число])», после чего BackDoor.Neutrino.50 удаляет себя из системы.

Помимо функций трояна для POS-терминалов, данный бэкдор обладает возможностью красть информацию из почтового клиента Microsoft, а также учетные данные для доступа к ресурсам по протоколу FTP с использованием ряда популярных ftp-клиентов. Кроме директив, характерных для Trojan.MWZLesson, троян BackDoor.Neutrino.50 умеет выполнять и другие команды. В частности, он способен осуществлять несколько типов DDoS-атак, удалять некоторые другие, работающие на инфицированной машине, вредоносные программы, а также может попытаться заразить компьютеры, доступные в локальной сети.

Сигнатуры этих троянов добавлены в вирусные базы Dr.Web, поэтому они не представляют опасности для пользователей антивирусных продуктов «Доктор Веб», подчеркнули в компании.