Трояны, ворующие деньги, заражают терминалы Qiwi

16.03.2011

Специалисты по информационной безопасности компании «Доктор Веб» сообщили об обнаружении новой модификации трояна Trojan.PWS.OSMP, предназначенного для хищения денежных средств при использовании терминалов одной из крупнейших российских платежных систем. По информации CNews, заражению подверглась самая популярная в России платежная система Qiwi.

Первая модификация трояна была обнаружена несколько лет назад, но с тех пор он был значительно модифицирован. Вмешиваясь в работу процесса maratl.exe, запущенного в операционной системе терминала Windows, зловред может подменять номер счета, на который пользователь осуществил платеж. В результате деньги могут попадать напрямую к злоумышленникам.

Заражение терминала может происходить через USB-флешку. Как только такая флешка подключается к терминалу (например, обслуживающим персоналом), происходит автозапуск бэкдора BackDoor.Pushnik, представляющего собой вредоносную программу в виде исполняемого файла, созданного в среде Delphi. В дальнейшем BackDoor.Pushnik получает с сервера первого уровня конфигурационную информацию, в которой присутствует адрес управляющего сервера второго уровня. С него, в свою очередь, исходит задача загрузить исполняемый файл (троянскую программу Trojan.PWS.OSMP) с третьего сервера.

Источник: http://safe.cnews.ru/news/top/index.shtml?2011/03/16/432200