alexgr

«Доктор Веб» предупреждает об опасном троянце в банкоматах 24 марта 2009 года

В этой теме 29 сообщений

«Доктор Веб» предупреждает об опасном троянце в банкоматах

24 марта 2009 года

Компания «Доктор Веб» сообщает о появлении новой угрозы в закрытых сетях банкоматов некоторых российских банков. Уникальность обнаруженного вируса состоит в его способности перехватывать данные о банковских картах пользователей, которые ранее пользовались зараженным банкоматом. Тем самым, с помощью полученной информации злоумышленники получают возможность уводить со счетов людей все деньги, которыми они располагают.

Банкоматы и раньше подвергались вирусным атакам, однако в худшем случае они могли привести к некорректной работе данных устройств. Появившийся недавно вирус действует иначе и способен нанести серьезный ущерб клиентам российских банков, которые используют банкоматы.

Образец этого троянца Служба вирусного мониторинга компании «Доктор Веб» получила через сервис онлайн-сканера. Dr.Web классифицирует данную вредоносную программу как Trojan.Skimer. Троянский конь собирает информацию о кредитных картах и PIN-кодах к ним. Единственное, что требуется злоумышленникам, использующим данный вирус, - подойти к банкомату, ввести код и получить на чеке распечатку с данными потенциальных жертв мошенничества.

В связи с тем, что, как правило, сети банкоматов не связаны с Всемирной Паутиной, единственный способ проникновения на них подобной вредоносной программы - участие в этом людей, тесно связанных с банком или являющихся их сотрудниками. Об этом также говорит тот факт, что на банкоматах устанавливается специальное ПО, поставляемое непосредственно их производителем. Соответственно, велика вероятность того, что создавали данный вирус люди, близко знакомые с логикой работы данного ПО и структурой его кода.

Все это подтверждает результаты проведенных ранее исследований, свидетельствующих о том, что причиной утечек информации в организациях финансовой сферы зачастую становятся их сотрудники. Тем не менее, особенностью данной угрозы является тот факт, что ущерб наносится не только репутации банков, но и их многочисленным клиентам, в частности физическим лицам.

хотя из изложенного здесь и знания технологий работы банкоматов - многое из написанного чистой воды PR. Либо писавший весьма приблизительно представляет сии технологии.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Тут отжигают новостеделатели -

Образец этого троянца Служба вирусного мониторинга компании «Доктор Веб» получила через сервис онлайн-сканера.

Вот так в свободном движении этот троян и ходит по миру.... :D То есть на самом деле - это надо было "вынуть" софт из банкомата, найти подозрительный файлик (причем найти его непросто - там не только ОС, но и система управления роботом! Знали, откуда брать) и проверить он-лайн сканером. Или сознательный банкомат сам отправил лишний контент? И сканер его тут же определил???

Слишком много натяжек, господа новостеделатели....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

http://www.virustotal.com/ru/analisis/1e2b...0805f503a80bafb

ходят слухи, что отсюда получили, а раньше у них ничего не было.

http://www.secureblog.info/articles/444.html

Кстати http://www.threatexpert.com/report.aspx?md...878650e27d81010

обратите внимание на дату слива.

Submission received: 11 November 2008, 23:01:54

Вообщем новость - чистой воды пеар. на сайте производителя банкоматов давно новость висит. Потом софос спохватился и в блоге написал. Почти все аверы, кто полчил сэмпл просто на автомате его добавили и все.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

полностью согласен, о чем и написал. БОлее того, мало говорят о типе банкомата, подверженного атаке... А это важно! Их ведь намного меньше, чем вообще банкоматов ДиБолд

С сайта ДиБолда - Opteva family уже защищена, причем новости примерно три месяца

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ваня Швайцер говорит и о типе вроде.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я здесь конкретно докторовскую новость рассматриваю

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Я здесь конкретно докторовскую новость рассматриваю

А кому верить? - вопрос избыточный, но есть категория...

Не скажу, что Доктор плохой, но остальные-то чем лучше? Даже не в плане новости... - пиар, понятно; не в тему - Вы пользуетесь Аваст и Доктором (на сколько понял)... У первого мне нравится их Live CD - хороший инструмент..

Я был бы рад, если бы Вы привели несколько аргументов в пользу Аваст / его преимущества... не сравнивая с Доктором, естественно :) дабы не вызвать нареканий. Возможно, в блоге. Мне лично интересно Ваше мнение / впечатления...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Исходя из блогов Алекса и Вячеслава, у Доктора даже семпла не было, что не помешало им выкатить новость, сперев ее у Софоса без указания первоисточника.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

я полагаю, что тема уже исчерпана, лично для так точно. Я видел, как работает троян, я знаю его функционал, я знаю, почему был выбран некоторый бренд для атак, постарался публике рассказать, что в новости правда, а что нет.

Что касается моего антивируса - у меня его нет. На корпоративном ноуте -я на нем не могу менять софт - стоит корпоративный Аваст! (компания европейская), на всех остальных объектах - ставлю все, что нравится или что хочу пощупать. Вот погонял Симпл антивирус. Доктор ставлю время от времени - я знаю продукт неплохо, ко мне обращаются за помощью - если выходит новость об обновлении - я смотрю - что и как. Если хотите - я сделаю тест для Аваст! по своей методике, на своей коллекции. Замечу, что после присоединения Gmer продукт существенно прибавил. На сегодня на корпоративном ноуте никаких вредоносов я не находил, хотя в интернете он висит 12 часов в день (если не в командировке)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Исходя из блогов Алекса и Вячеслава, у Доктора даже семпла не было, что не помешало им выкатить новость, сперев ее у Софоса без указания первоисточника.

Я про сэмпл ничего такого не говорил. Судя по http://updates.drweb.com сэмпл был добавлен 19го числа. Однако найден он был... я сейчас расскажу как (предположение).

Кто то увидел новость, выложенную на блоге Софоса и срочно начал названивать в вирлаб.

Полезной информации для поиска в статье мало, но есть отличная картинка. А что если взять строчки, зафигачить одну из них в поиск и проверить всю помойку, пришедшую с virustotal за определенный промежуток времени? Возьмем, например, "DbdDevAPI.dll" и начнем искать, а вдруг сэмпл не упакован? Достаточно найти один сэмпл и можно придумать способ поиска получше.

2 дня искали, искали и находили... :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Я про сэмпл ничего такого не говорил.

Я объединил оба ваших блога. Про семпл говорил Сергей. Он же показал вот такой скриншот:

bafb.png

Дата проверки в него не попала, но там 2009.23.03

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Я объединил оба ваших блога. Про семпл говорил Сергей. Он же показал вот такой скриншот:

Дата проверки в него не попала, но там 2009.23.03

Все дело в том, что сэмплов несколько.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
сэмпл был добавлен 19го числа

18- го.

Однако найден он был... я сейчас расскажу как (предположение).

virustotal тут вряд ли при делах.

http://www.virustotal.com/ru/analisis/a5b1...787eeb0a2ab12bf

http://www.virustotal.com/ru/analisis/1e2b...0805f503a80bafb

http://www.virustotal.com/nl/analisis/a5b1...787eeb0a2ab12bf

http://www.virustotal.com/pt/analisis/8997...870ffe9f6ad034d

http://www.virustotal.com/ko/analisis/cfb5...53323bdf3e3fdb0

это всё один и тот же файл и именно он не детектился, доктором как я понимаю, минимум до 23-го числа.

Все дело в том, что сэмплов несколько.

Согласно, http://updates.drweb.com/, четыре есть точно, если я правильно понимаю циферку (4) в скобках.

Согласно, http://forum.drweb.com/index.php?showtopic...mp;#entry296623 еще больше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
18- го.

18-го, так 18-го, видимо я что-то проглядел на апдейтс.дрвеб.ком

Голактеко спасено. Вытащили все с вирустотала. Молодцом!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

98-й

Первый и третий линк - дубли, просто на разных языках.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вытащили все с вирустотала

Я выше уже написал.

Похоже не все так просто.;)

Первый и третий линк - дубли, просто на разных языках.

Да и х.. с ними.

Непринципиально.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Я выше уже написал.

Похоже не все так просто.;)

Что конкретно не так просто? Вот это я как раз выше написал. Достаточно найти все по маске или найти сначала один, а потом найти все остальные по маске.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Что конкретно не так просто? Вот это я как раз выше написал. Достаточно найти все по маске или найти сначала один, а потом найти все остальные по маске.

А другим лень по мусорке было поискать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В прошлые четверг или пятницу -не помню -в новостях на питерском 5 канале И.Данилов хорошо смотрелся комментируя эту новость. А представители банков выглядели подавленными и лопотали невнятно =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да Данилов вообще молодец в этом плане - умеет красиво, четко и оригинально сказать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

просто банкам надо было выводить на ТВ не Пиарщиков, а банкоматчиков. Тогда смотрелось бы по - другому. Типа "ох, уж эти сказочки, ох, уж эти сказочники". Пример - главный вопрос - обход аппаратного шифрования ПИН - кода или "почему DieBold?". Я ответ знаю, а комментаторы из антивирусных лабораторий эту тему мягко обходят, рассказывая про число сэмплов... А сколько из них взято из банкоматов? В этом смысле понравились комментарии Кирилла

ИМХО - это теперь просто "красивая" тема для пиара, когда о проблеме говорят ВСЕ, а особенно много те, которые в самой проблеме мало понимают. Журналисты поймали "жареную" тему.... Тысячи пострадавших.... Миллионы потерянных денег.... Опасности кругом - не подходите к банкоматам, пользуйтесь кэшем.... А вот думаю, что все это - большой мыльный пузырь.... Не сложно узнать и число пострадавших, поскольку имеем место с разновидностью карточного фрода. Значит, меньше, чем через месяц мы узнаем и число потерь...

А пока цифры пострадавших банков не поражают... Как и число банкоматов....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Да Данилов вообще молодец в этом плане - умеет красиво, четко и оригинально сказать.

Согласен, но вот говорит Данилов крайне редко. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Согласен, но вот говорит Данилов крайне редко.

Зато метко и жестко;)

Тысячи пострадавших.... Миллионы потерянных денег....

муха -> слон

Выше я привел направление всех СМИ:)

А вот думаю, что все это - большой мыльный пузырь....

Мда... я тоже часто думаю такую думу про очень многие вещи в нашем мире. Особенно про СМИ в общем и про "звезд" в частности.

Также к слову не могу не привести цитату из интервью с Игорем Даниловым (там тоже есть про мыльный пузырь):

3bbc29bb86b8.png

...

...

1b14682a107d.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

я - волею случая -в курсе этих высказываний, как и многих других, в прессу не попавших. В данном случае мнение в обсуждении ведь одно - журналисты "раскручивают" тему. Точнее, раскручивали - интерес как то резко "сдулся"... Статистика - хоть и неутешительная в целом - пока не подтвердила никоим образом мрачные цифры... А поскольку тут затронуты непосредственно интересы международных платежных систем (а не управления К, как с испугу написали СМИ. Оно вроде как должно искать автора в этом случае) и банков - то скоро размеры "пузыря" будут оценены

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
журналисты "раскручивают" тему.

Старая тема уже, но всё же: вчера на первом канале (Новости 18:00 ч.) тоже раскручивали тему про троян в банкоматах на целых 5 минут. Злоумышленников поймали в Питербурге; автор Трояна - неизвестен. Там следователи были, которые всё показали, и жертвы ('крупные бизнесмены и известные спортсмены'), которые рассказывали про свою беду. Говорили, что некоторым банкам пришлось переделывать свои механизмы. Пиарщиков из Индустрии Безопасности НЕ пригласили. Раза 3-4 подчёркивали, что эксперты до этого думали, что это невозможно. Что думать теперь простым смертным? :rolleyes:

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Wenderoy
      Обновляю: https://mega.nz/#!0FYBnRzT!Kh8GaRMVOzm99QJZX0NsDD51vDaFzPI-Vil02kw53rQ
    • Sergey22101979s
      Площадку надо свою делать и развивать её. А потом продавать места на ней. И не важно какую площадку - сайт, группу в соцсети, или что-то тому подобное.
    • homeobed
      На дому за копейки работать - дело нехитрое) Вот чтобы зарабатывать приличные деньги, на одних комментариях далеко не уедешь)
    • Mike
      Вышел McAfee VirusScan Enterprise 8.8.0 Patch 10  
    • Wenderoy
      Да, лучше удалить. Но это, разумеется, решает администрация... Я никакой не тролль, ANDYBOND прекрасно это понимает, просто именно с ним был разлад безо всякой причины, подробности приводить не буду, но теперь он старается как можно больше "навредить" мне. Собственно, вот отзывы про PS - https://www.mywot.com/ru/scorecard/provisionsecurity.ru Думаю, комментарии будут излишними. Есть очень много свидетелей, которых "примерная" администрация Provisionsecurity даже "поливала" нецензурной лексикой, у меня есть все скриншоты и т. д. И после всего этого надо подумать, а стоит ли верить таким людям? Это я в качестве отступления. Главное - то, что я устал здесь распинаться, тратя свое личное время, что идет только на руку уже упомянутым участниками форума. Все, что мне надо было доказать, я доказал, пользователи моего приложения знают и понимают мои цели и стремления, я ни от кого ничего не скрываю. Поэтому программу уже используют многие, а это значит, что дело поставлено на рельсы. Самое смешное, что на каждый мой аргумент, который я не поленился снабдить всей необходимой информацией в форме ссылок, скриншотов, записей, копий писем, сообщений лабораторий etc, в ответ мне летят одни и те же фразы: "мошенник", "вирусописатель", "тролль". Так кто же больше попадает под значение последнего слова? Просто упомяну еще пару вещей. Когда я объяснял, почему продукт детектит пустой файл, все равно меня никто не слышал. Каким же, интересно, образом мне следует растолковать это? Были приведены доказательства, что я часть баз собираю с ресурса VirusShare (благо, имеются очень хорошие источники самой разнообразной информации), где AVP в свое время почему-то пометил файл как Trojan... (где-то на предыдущих страницах все чрезвычайно подробно описано). Так вот, копируя MD5, в комплект попала и хеш-сумма пустого файла, вследствие чего как бы Вы его ни переименовывали, все рано будет сработка продукта (кстати, ее уже нет). Далее. Насчет "мошенник" и "вирусописатель". Если зимние переписки (не просто отчетов автоматического анализа лабораторий) с вирусным аналитиком McAfee ни о чем Вам не говорят, это, как говорится, не мои проблемы. Другие вендоры, да практически все (даже популярные Avast, Qihoo и др.) устанавливаются втихомолку вместе с другим ПО (DRP Solutions, различные дополнения для монетизации в пакеты дистрибутивов), но их Вы почему-то "вирусописателями"  не называете. И последнее. Насчет "мошенник". Я никого не принуждаю устанавливать KAR, каждый делает это добровольно. Лицензионное соглашение и Privacy Statment присутствуют на сайте, там все четко и ясно описано. На сервер высылаются исключительно анонимные отчеты, как и в любых других разработках аналогичного типа, не более того.  Kuranin Anti-Ransomware распространяется абсолютно бесплатно, никакой рекламы ни в продукте, ни даже на сайте, т. к. это мое хобби. Поэтому здесь не вижу ничего, связанного с мошенничеством. Это очень краткое обобщение, все мои подробные ночные отписки на однотипные бессмысленные сообщения можно посмотреть, листая предыдущие ни много ни мало двенадцать страниц. @VMS, радует, что еще есть адекватные люди, которые умеют слушать. Да, к сожалению, это не те времена, когда жизнь кипела в каждом уголке Anti-Malware и других подобных форумов. Обидно, что перевились разработчики-добровольцы, которые были очень активны в 2004-2014 годах. Сейчас в основном крупные компании все вытеснили, да есть те, кто просто сдался (Александр Калинин, его судьба мне не известна, но смею предположить, что он воплотил свое хобби в жизнь; Kerish, который, правда, стал чрезвычайно полезной утилитой Kerish Doctor, а ведь совсем немногие знают прошлое этого творения; ScreamAV, бесплатныq антивирус то ли из Индонезии, то ли с Филиппин; путем долгого анализа удалось выяснить, что создатели данного антивируса примкнули к проекту SmadAV;  SMK антивирус, когда-то известный в узких кругах; "Зоркий глаз" Петелина Александра;  AWS Core, приостановивший свое развитие и т. п.) Вообще обожаю древние сайты, особенно варианты на narod.ru и им подобные, пропахшие стариной и историей. Очень приятные ощущения, как будто бы открыл давно забытую, но вновь найденную на чердаке книгу с пожелтевшими от времени листами.  А еще очень много полезных ресурсов, которых уже нет, но они сохранились в "архиве". Все это "богатство" сложно отыскать, но зато там есть чрезвычайно много полезной информации... Вот, кстати, один из примеров: https://web.archive.org/web/20040905203536/http://www.winchanger.narod.ru:80/ Или https://web.archive.org/web/20070624081145/http://winchanger.whatis.ru:80/ Как бонус прилагаю собственную коллекцию малоизвестных продуктов любителей информационной безопасности, среди них, кстати, все вышеупомянутые образцы! https://mega.nz/#!tZBkkCKa!0WzfYt4A1zK4aCvVLtu3FLt7pfPIp7wWtyPIr9c-cbo Может, кому пригодится...