Trojan.ProSto.1 продвигает отечественные технологии - Современные угрозы и защита от них - Форумы Anti-Malware.ru Перейти к содержанию
AM_Bot

Trojan.ProSto.1 продвигает отечественные технологии

Автор AM_Bot, в Современные угрозы и защита от них

Recommended Posts

AM_Bot    48

AM_Bot
Опубликовано

1 апреля 2014 года

События последних нескольких недель, в течение которых компании Visa и MasterCard приостановили процессинг платежей по пластиковым картам для ряда российских банков, породили множество дискуссий о целесообразности развития национальной платежной системы Про100, не зависящей от каких-либо зарубежных организаций. По всей видимости, определенный интерес к этой ситуации проявили и злоумышленники, специализирующиеся на создании вредоносных программ для банкоматов и платежных терминалов. Так, троянец Trojan.ProSto.1 ориентирован в первую очередь на зарубежных держателей банковских карт, пользующихся банкоматами и платежными терминалами на территории России.

Большинство современных банковских карт помимо магнитной полосы имеет встроенный чип с перезаписываемой памятью, позволяющей хранить определенный объем информации о типе карты, реквизитах и валюте счета клиента. Так, в память универсальных электронных карт (УЭК), используемых в российской платежной системе Про100, можно записывать дополнительные данные — в том числе банковское приложение для осуществления дистанционных платежных операций, идентификационные данные держателя карты (включающие цифровую подпись) и электронный кошелек, предназначенный для оплаты проезда в общественном транспорте.

Обнаруженный специалистами компании «Доктор Веб» троянец Trojan.ProSto.1 способен инфицировать банкоматы нескольких производителей, работающие под управлением 32-разрядных операционных систем Microsoft Windows XP, Windows Embdedded и WEPOS (Windows Embedded POSReady). При этом сам троянец не обладает какими-либо модулями для обеспечения саморепликации, поэтому механизм его распространения до настоящего момента остается неизученным. Запустившись на инфицированном устройстве, вредоносная программа проверяет систему на наличие ранее осуществленного заражения во избежание повторной установки. Затем Trojan.ProSto.1 создает собственную копию в папке инсталляции ОС под именем taskmgr.exe и регистрирует ее в качестве системной службы, после чего операционная система принудительно перезагружается. Во временную папку сохраняется файл динамической библиотеки, в которой реализована часть функционала троянца. После повторной загрузки Windows в системе оказываются запущенными два процесса taskmgr.exe, один из которых является легальным. При попытке выгрузить вредоносный процесс троянец выводит на экран диалоговое окно с сообщением об ошибке:

ProSto_1.png

В случае успешной установки Trojan.ProSto.1 с заданной периодичностью опрашивает состояние банкомата. При обнаружении в считывающем устройстве банковской карты с интегрированным чипом троянец осуществляет динамическую проверку значения IIN (Issuer identification number) — номера, в котором закодировано наименование платежной системы и банка-эмитента карты. Если процессинг карты осуществляется международными системами Visa или MasterCard и карта эмитирована банком, расположенным за пределами Российской Федерации, Trojan.ProSto.1 генерирует команду на удаление содержимого чипа, после чего извлекает из динамической библиотеки хранящийся в ней бинарный образ, расшифровывает его и записывает в память карты. При этом предпочтение отдается держателям карт класса Gold и Platinum. В образе содержится банковское приложение российской национальной платежной системы Про100, а также ряд других данных. Таким образом, обладатели банковских карт международного стандарта неожиданно для себя становятся пользователями российской национальной платежной системы со всеми вытекающими последствиями — включая возможность оплаты проезда в общественном транспорте, парковки в Москве, а также дистанционного перечисления средств за коммунальные услуги, штрафов ГИБДД и выплат налогов в российский бюджет.

Специалисты по информационной безопасности склоняются к мнению, что к распространению угрозы могут быть причастны активисты подпольной хакерской организации «Киберпатриоты», ратующие за развитие и повсеместное внедрение информационных технологий российского производства. С 1 апреля 2014 года Trojan.ProSto.1 успешно детектируется и удаляется Антивирусом для встроенных систем Dr.Web ATM Shield.

Источник

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

priv8v    960

priv8v
Опубликовано

дрвебовцы уже запилили опровержение.

ждем когда яндекс напишет о том, что возможность убить муху тапком не попадает под программу награждений за найденные уязвимости :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

alexgr    556

alexgr
Опубликовано

1 апреля!

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

B .    90

B .
Опубликовано
дрвебовцы уже запилили опровержение.

ждем когда яндекс напишет о том, что возможность убить муху тапком не попадает под программу награждений за найденные уязвимости :)

Муха - вообще больная тема. Мне в течение дня двое юзеров в панике звонили по поводу этой долбаной мухи. Наверняка принесут несколько моников и ноутов с разбитыми матрицами в ремонт.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Современные угрозы и защита от них

  • Сообщения

    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      Пожалуй можно добавить команду: > Сбросить все атрибуты файлов каталогов - ориентируясь на указанную дату. 2025-01-14 17:17 - 2025-01-14 17:17 - 000000000
      2025-01-14 17:16 - 2025-01-14 07:50 - 000000000
      2025-01-14 17:15 - 2025-01-14 07:50 - 000000000
      2025-01-14 17:13 - 2025-01-14 11:00 - 000000000 Или даже удаление для: 000 - по дате    
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      Dragokas По работе с программой: https://forum.esetnod32.ru/forum8/topic15785/ В программе есть возможность поиска.
      Вместо категории: Подозрительные и вирусы выберите категорию.
      Выберите поиск по имени, или пути файла.
      Для нормальной работы курсор должен быть на одной из строк. ( Имя ; Каталог ; Статус ; Производитель ) Так:
    • Dragokas
      uVS - Тестирование

      От Dragokas · Опубликовано

      Приветствую! Можно реализовать поиск (или фильтр) среди найденных объектов (вот как Ctrl + F в текстовых редакторах), или такое уже есть? Например, выбираешь категорию "Все файлы", и тебя интересует увидеть все строки, в средине которых есть определённое слово.
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      ---------------------------------------------------------
       4.99.10
      ---------------------------------------------------------
       o При активации небезопасных параметров запуска добавлено предупреждение с перечислением этих параметров.

       o Параметры запуска "Заморозить потоки внедренные в uVS" и "Выгружать DLL" объединены в один параметр
         "Выгружать DLL и уничтожать потоки внедренные в uVS".

       o Исправлена ошибка в функции выгрузки DLL из uVS.

       o Исправлена ошибка разбора параметров для исполняемых файлов с именем содержащим 2 точки.
         (например file.txt.exe)

       o Исправлена ошибка в функции удалении задачи по имени отсутствующего XML-файла задачи.

       o Исправлена ошибка в парсере json.
         Теперь в лог выводится участок json вызвавший ошибку разбора.
       
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      тут только присылать мне файлы указанные в логе, буду разбираться что там не так. они именно не удаляются или это сообщения в логе при построении списка?
×