«Доктор Веб» предупреждает об опасном троянце в банкоматах 24 марта 2009 года

[alexgr 556]

«Доктор Веб» предупреждает об опасном троянце в банкоматах

24 марта 2009 года

Компания «Доктор Веб» сообщает о появлении новой угрозы в закрытых сетях банкоматов некоторых российских банков. Уникальность обнаруженного вируса состоит в его способности перехватывать данные о банковских картах пользователей, которые ранее пользовались зараженным банкоматом. Тем самым, с помощью полученной информации злоумышленники получают возможность уводить со счетов людей все деньги, которыми они располагают.

Банкоматы и раньше подвергались вирусным атакам, однако в худшем случае они могли привести к некорректной работе данных устройств. Появившийся недавно вирус действует иначе и способен нанести серьезный ущерб клиентам российских банков, которые используют банкоматы.

Образец этого троянца Служба вирусного мониторинга компании «Доктор Веб» получила через сервис онлайн-сканера. Dr.Web классифицирует данную вредоносную программу как Trojan.Skimer. Троянский конь собирает информацию о кредитных картах и PIN-кодах к ним. Единственное, что требуется злоумышленникам, использующим данный вирус, - подойти к банкомату, ввести код и получить на чеке распечатку с данными потенциальных жертв мошенничества.

В связи с тем, что, как правило, сети банкоматов не связаны с Всемирной Паутиной, единственный способ проникновения на них подобной вредоносной программы - участие в этом людей, тесно связанных с банком или являющихся их сотрудниками. Об этом также говорит тот факт, что на банкоматах устанавливается специальное ПО, поставляемое непосредственно их производителем. Соответственно, велика вероятность того, что создавали данный вирус люди, близко знакомые с логикой работы данного ПО и структурой его кода.

Все это подтверждает результаты проведенных ранее исследований, свидетельствующих о том, что причиной утечек информации в организациях финансовой сферы зачастую становятся их сотрудники. Тем не менее, особенностью данной угрозы является тот факт, что ущерб наносится не только репутации банков, но и их многочисленным клиентам, в частности физическим лицам.

хотя из изложенного здесь и знания технологий работы банкоматов - многое из написанного чистой воды PR. Либо писавший весьма приблизительно представляет сии технологии.

[alexgr 556]

Тут отжигают новостеделатели -

Образец этого троянца Служба вирусного мониторинга компании «Доктор Веб» получила через сервис онлайн-сканера.

Вот так в свободном движении этот троян и ходит по миру.... То есть на самом деле - это надо было "вынуть" софт из банкомата, найти подозрительный файлик (причем найти его непросто - там не только ОС, но и система управления роботом! Знали, откуда брать) и проверить он-лайн сканером. Или сознательный банкомат сам отправил лишний контент? И сканер его тут же определил???

Слишком много натяжек, господа новостеделатели....

[Alex_Goodwin 81]

http://www.virustotal.com/ru/analisis/1e2b...0805f503a80bafb

ходят слухи, что отсюда получили, а раньше у них ничего не было.

http://www.secureblog.info/articles/444.html

Кстати http://www.threatexpert.com/report.aspx?md...878650e27d81010

обратите внимание на дату слива.

Submission received: 11 November 2008, 23:01:54

Вообщем новость - чистой воды пеар. на сайте производителя банкоматов давно новость висит. Потом софос спохватился и в блоге написал. Почти все аверы, кто полчил сэмпл просто на автомате его добавили и все.

[alexgr 556]

полностью согласен, о чем и написал. БОлее того, мало говорят о типе банкомата, подверженного атаке... А это важно! Их ведь намного меньше, чем вообще банкоматов ДиБолд

С сайта ДиБолда - Opteva family уже защищена, причем новости примерно три месяца

[Alex_Goodwin 81]

Ваня Швайцер говорит и о типе вроде.

[alexgr 556]

Я здесь конкретно докторовскую новость рассматриваю

[georgy_n 80]

Я здесь конкретно докторовскую новость рассматриваю

А кому верить? - вопрос избыточный, но есть категория...

Не скажу, что Доктор плохой, но остальные-то чем лучше? Даже не в плане новости... - пиар, понятно; не в тему - Вы пользуетесь Аваст и Доктором (на сколько понял)... У первого мне нравится их Live CD - хороший инструмент..

Я был бы рад, если бы Вы привели несколько аргументов в пользу Аваст / его преимущества... не сравнивая с Доктором, естественно дабы не вызвать нареканий. Возможно, в блоге. Мне лично интересно Ваше мнение / впечатления...

[Umnik 997]

Исходя из блогов Алекса и Вячеслава, у Доктора даже семпла не было, что не помешало им выкатить новость, сперев ее у Софоса без указания первоисточника.

[alexgr 556]

я полагаю, что тема уже исчерпана, лично для так точно. Я видел, как работает троян, я знаю его функционал, я знаю, почему был выбран некоторый бренд для атак, постарался публике рассказать, что в новости правда, а что нет.

Что касается моего антивируса - у меня его нет. На корпоративном ноуте -я на нем не могу менять софт - стоит корпоративный Аваст! (компания европейская), на всех остальных объектах - ставлю все, что нравится или что хочу пощупать. Вот погонял Симпл антивирус. Доктор ставлю время от времени - я знаю продукт неплохо, ко мне обращаются за помощью - если выходит новость об обновлении - я смотрю - что и как. Если хотите - я сделаю тест для Аваст! по своей методике, на своей коллекции. Замечу, что после присоединения Gmer продукт существенно прибавил. На сегодня на корпоративном ноуте никаких вредоносов я не находил, хотя в интернете он висит 12 часов в день (если не в командировке)

[sww 486]

Исходя из блогов Алекса и Вячеслава, у Доктора даже семпла не было, что не помешало им выкатить новость, сперев ее у Софоса без указания первоисточника.

Я про сэмпл ничего такого не говорил. Судя по http://updates.drweb.com сэмпл был добавлен 19го числа. Однако найден он был... я сейчас расскажу как (предположение).

Кто то увидел новость, выложенную на блоге Софоса и срочно начал названивать в вирлаб.

Полезной информации для поиска в статье мало, но есть отличная картинка. А что если взять строчки, зафигачить одну из них в поиск и проверить всю помойку, пришедшую с virustotal за определенный промежуток времени? Возьмем, например, "DbdDevAPI.dll" и начнем искать, а вдруг сэмпл не упакован? Достаточно найти один сэмпл и можно придумать способ поиска получше.

2 дня искали, искали и находили...

[Umnik 997]

Я про сэмпл ничего такого не говорил.

Я объединил оба ваших блога. Про семпл говорил Сергей. Он же показал вот такой скриншот:

Дата проверки в него не попала, но там 2009.23.03

[sww 486]

Я объединил оба ваших блога. Про семпл говорил Сергей. Он же показал вот такой скриншот:

Дата проверки в него не попала, но там 2009.23.03

Все дело в том, что сэмплов несколько.

[Guest 98-й]

сэмпл был добавлен 19го числа

18- го.

Однако найден он был... я сейчас расскажу как (предположение).

virustotal тут вряд ли при делах.

http://www.virustotal.com/ru/analisis/a5b1...787eeb0a2ab12bf

http://www.virustotal.com/ru/analisis/1e2b...0805f503a80bafb

http://www.virustotal.com/nl/analisis/a5b1...787eeb0a2ab12bf

http://www.virustotal.com/pt/analisis/8997...870ffe9f6ad034d

http://www.virustotal.com/ko/analisis/cfb5...53323bdf3e3fdb0

это всё один и тот же файл и именно он не детектился, доктором как я понимаю, минимум до 23-го числа.

Все дело в том, что сэмплов несколько.

Согласно, http://updates.drweb.com/, четыре есть точно, если я правильно понимаю циферку (4) в скобках.

Согласно, http://forum.drweb.com/index.php?showtopic...mp;#entry296623 еще больше.

[sww 486]

18- го.

18-го, так 18-го, видимо я что-то проглядел на апдейтс.дрвеб.ком

Согласно, http://forum.drweb.com/index.php?showtopic...mp;#entry296623 еще больше.

Голактеко спасено. Вытащили все с вирустотала. Молодцом!

[Umnik 997]

98-й

Первый и третий линк - дубли, просто на разных языках.

[Guest 98-й]

Вытащили все с вирустотала

Я выше уже написал.

Похоже не все так просто.

Первый и третий линк - дубли, просто на разных языках.

Да и х.. с ними.

Непринципиально.

[sww 486]

Я выше уже написал.

Похоже не все так просто.

Что конкретно не так просто? Вот это я как раз выше написал. Достаточно найти все по маске или найти сначала один, а потом найти все остальные по маске.

[99-й 25]

Что конкретно не так просто? Вот это я как раз выше написал. Достаточно найти все по маске или найти сначала один, а потом найти все остальные по маске.

А другим лень по мусорке было поискать?

[seevbon 40]

В прошлые четверг или пятницу -не помню -в новостях на питерском 5 канале И.Данилов хорошо смотрелся комментируя эту новость. А представители банков выглядели подавленными и лопотали невнятно =)

[priv8v 960]

Да Данилов вообще молодец в этом плане - умеет красиво, четко и оригинально сказать.

[alexgr 556]

просто банкам надо было выводить на ТВ не Пиарщиков, а банкоматчиков. Тогда смотрелось бы по - другому. Типа "ох, уж эти сказочки, ох, уж эти сказочники". Пример - главный вопрос - обход аппаратного шифрования ПИН - кода или "почему DieBold?". Я ответ знаю, а комментаторы из антивирусных лабораторий эту тему мягко обходят, рассказывая про число сэмплов... А сколько из них взято из банкоматов? В этом смысле понравились комментарии Кирилла

ИМХО - это теперь просто "красивая" тема для пиара, когда о проблеме говорят ВСЕ, а особенно много те, которые в самой проблеме мало понимают. Журналисты поймали "жареную" тему.... Тысячи пострадавших.... Миллионы потерянных денег.... Опасности кругом - не подходите к банкоматам, пользуйтесь кэшем.... А вот думаю, что все это - большой мыльный пузырь.... Не сложно узнать и число пострадавших, поскольку имеем место с разновидностью карточного фрода. Значит, меньше, чем через месяц мы узнаем и число потерь...

А пока цифры пострадавших банков не поражают... Как и число банкоматов....

[Рашевский Роман 110]

Да Данилов вообще молодец в этом плане - умеет красиво, четко и оригинально сказать.

Согласен, но вот говорит Данилов крайне редко.

[priv8v 960]

Согласен, но вот говорит Данилов крайне редко.

Зато метко и жестко

Тысячи пострадавших.... Миллионы потерянных денег....

муха -> слон

Выше я привел направление всех СМИ

А вот думаю, что все это - большой мыльный пузырь....

Мда... я тоже часто думаю такую думу про очень многие вещи в нашем мире. Особенно про СМИ в общем и про "звезд" в частности.

Также к слову не могу не привести цитату из интервью с Игорем Даниловым (там тоже есть про мыльный пузырь):

...

...

[alexgr 556]

я - волею случая -в курсе этих высказываний, как и многих других, в прессу не попавших. В данном случае мнение в обсуждении ведь одно - журналисты "раскручивают" тему. Точнее, раскручивали - интерес как то резко "сдулся"... Статистика - хоть и неутешительная в целом - пока не подтвердила никоим образом мрачные цифры... А поскольку тут затронуты непосредственно интересы международных платежных систем (а не управления К, как с испугу написали СМИ. Оно вроде как должно искать автора в этом случае) и банков - то скоро размеры "пузыря" будут оценены

[p2u 824]

журналисты "раскручивают" тему.

Старая тема уже, но всё же: вчера на первом канале (Новости 18:00 ч.) тоже раскручивали тему про троян в банкоматах на целых 5 минут. Злоумышленников поймали в Питербурге; автор Трояна - неизвестен. Там следователи были, которые всё показали, и жертвы ('крупные бизнесмены и известные спортсмены'), которые рассказывали про свою беду. Говорили, что некоторым банкам пришлось переделывать свои механизмы. Пиарщиков из Индустрии Безопасности НЕ пригласили. Раза 3-4 подчёркивали, что эксперты до этого думали, что это невозможно. Что думать теперь простым смертным?

Paul