Menu

Trojan.Skimer.19 загрожує банкам

Шкідливі програми, які заражають електронну «начинку» банкоматів, - явище не надто поширене, тому поява нових зразків подібного ЗА незмінно викликає інтерес фахівців. У розпорядженні вірусних аналітиків компанії «Доктор Веб» з'явився зразок трояна Trojan.Skimer.19, здатного інфікувати банкомати одного з закордонних виробників, використовувані численними банками на території Росії і України. Це вже третій тип банкоматів, на які орієнтовані троянці сімейства Trojan.Skimer. Згідно з наявною у «Доктор Веб» інформації, організовані зловмисниками атаки на банківські системи з застосуванням Trojan.Skimer.19 тривають і донині.

Trojan.Skimer.19 угрожает банкам

Основний шкідливий функціонал цього троянця, як і його попередніх модифікацій, реалізований у вигляді динамічної бібліотеки, яка зберігається в NTFS-потоці іншого шкідливого файлу, детектованого антивірусним ПЗ Dr.Web як Trojan.Starter.2971. Якщо в інфікованій системі використовується файлова система NTFS, Trojan.Skimer.19 також зберігає свої файли журналів в потоках - у ці журнали троянець записує треки банківських карт, а також ключі, використовувані для розшифровки інформації.

Заразивши операційну систему банкомату, Trojan.Skimer.19 перехоплює натиснення клавіш EPP (Encrypted Pin Pad) в очікуванні спеціальної комбінації, з використанням якої троянець активується і може виконати введену зловмисником на клавіатурі команду. Серед виконуваних команд можна перерахувати такі:

  • зберегти лог-файли на чіп картки, розшифрувати PIN-коди;
  • видалити троянську бібліотеки, файли журналів, «вилікувати» файл-носій, перезавантажити систему (зловмисники двічі віддають команду інфікованій банкомату, другий раз - не пізніше 10 секунд після першого);
  • вивести на дисплей банкомату вікно зі зведеною статистикою: кількість виконаних транзакцій, унікальних карт, перехоплених ключів і т. д.;
  • знищити всі файли журналів;
  • перезавантажити систему;
  • оновити файл троянця, прочитавши виконуваний файл з чіпа карти.

Останні версії Trojan.Skimer.19 можуть бути придатним не тільки з допомогою набраний на клавіатурі банкомату коду, але і з використанням спеціальних карт, як і в попередніх варіантах троянських програм даного сімейства.

Для розшифровки даних Trojan.Skimer.19 застосовує або вбудоване З банкомату, або власну реалізацію симетричного алгоритму шифрування DES (Data Encryption Standard), використовуючи раніше перехоплені і збережені в журналі ключі.

Фахівцям компанії «Доктор Веб» відомо кілька варіантів бібліотеки, в якій реалізований шкідливий функціонал троянця, що відрізняються набором реалізованих функцій. Всі вони успішно детектуються і видаляються антивірусним ПЗ Dr.Web.

Додатково
|