В терміналах знайшли компютерний вірус

0
164

Компанія «Доктор Веб», що займається розробкою засобів інформаційної безпеки, виявила в терміналах однієї з найбільших російських платіжних систем троянця Trojan.PWS.OSMP. За словами представників компанії, ця програма втручається в роботу легального процесу maratl.exe, який запущено в операційній системі терміналу. Троянець підміняє номер рахунка, який здійснює платіж користувач. В результаті гроші потрапляють зловмисникам.

Спочатку в операційну систему платіжного термінала (ОС Windows) потрапляє Virus.Pushnik, що представляє собою шкідливу програму у вигляді виконуваного файлу, написаного зловмисниками на мові Delphi. Передається він через знімні носії, зокрема USB Flash Drive. Як тільки така «флешка» підключається до терміналу, відбувається автозапуск бекдор. Надалі Virus.Pushnik отримує з сервера першого рівня конфігураційну інформацію, в якій присутня адреса керуючого сервера другого рівня. З нього, у свою чергу, виходить «завдання» завантажити виконуваний файл (троянську програму Trojan.PWS.OSMP) з третього сервера.

Trojan.PWS.OSMP – одна з перших шкідливих програм, що представляють небезпеку для клієнтів платіжних терміналів. Потрапляючи в операційну систему, троянець перевіряє програмне забезпечення, встановлене на терміналі та здійснює пошук процесу maratl.exe, який є цілком легальною програмою. Далі Trojan.PWS.OSMP вбудовується в maratl.exe, змінюючи його пам’ять. В сутності, троянська програма дозволяє зловмисникам виправити будь-номер рахунку, на який користувачі відправляють гроші.

Остання відома модифікація Trojan.PWS.OSMP, з’явилася в кінці лютого 2011 року, діє вже за іншою схемою. Вона краде конфігураційний файл, що, ймовірно, може допомогти зловмисникам створити підроблений термінал на звичайному комп’ютері і направляти гроші на власний рахунок в електронній формі, минаючи купюроприймач.

Зараз можна з упевненістю говорити, що Trojan.PWS.OSMP представляє найбільшу небезпеку для терміналів, підключених до Інтернету і використовують maratl.exe. Фахівці «Доктор Веб» вже передали всю відому їм інформацію компанії — власнику терміналів, які знаходяться під загрозою.

За оцінками фахівців з процесингової компанії ймовірність зараження терміналів цим троянцем є невисокою зважаючи на специфіку обслуговування. За їх словами, активність Trojan.PWS.OSMP на даний момент оцінюється як низька.

Назва платіжної системи, в терміналах якої знайдений вірус, не уточнюється, проте, за даними ряду ЗМІ, мова йде про платіжну систему QIWI.