Перейти к содержанию
alexgr

«Доктор Веб» предупреждает об опасном троянце в банкоматах 24 марта 2009 года

Recommended Posts

alexgr

«Доктор Веб» предупреждает об опасном троянце в банкоматах

24 марта 2009 года

Компания «Доктор Веб» сообщает о появлении новой угрозы в закрытых сетях банкоматов некоторых российских банков. Уникальность обнаруженного вируса состоит в его способности перехватывать данные о банковских картах пользователей, которые ранее пользовались зараженным банкоматом. Тем самым, с помощью полученной информации злоумышленники получают возможность уводить со счетов людей все деньги, которыми они располагают.

Банкоматы и раньше подвергались вирусным атакам, однако в худшем случае они могли привести к некорректной работе данных устройств. Появившийся недавно вирус действует иначе и способен нанести серьезный ущерб клиентам российских банков, которые используют банкоматы.

Образец этого троянца Служба вирусного мониторинга компании «Доктор Веб» получила через сервис онлайн-сканера. Dr.Web классифицирует данную вредоносную программу как Trojan.Skimer. Троянский конь собирает информацию о кредитных картах и PIN-кодах к ним. Единственное, что требуется злоумышленникам, использующим данный вирус, - подойти к банкомату, ввести код и получить на чеке распечатку с данными потенциальных жертв мошенничества.

В связи с тем, что, как правило, сети банкоматов не связаны с Всемирной Паутиной, единственный способ проникновения на них подобной вредоносной программы - участие в этом людей, тесно связанных с банком или являющихся их сотрудниками. Об этом также говорит тот факт, что на банкоматах устанавливается специальное ПО, поставляемое непосредственно их производителем. Соответственно, велика вероятность того, что создавали данный вирус люди, близко знакомые с логикой работы данного ПО и структурой его кода.

Все это подтверждает результаты проведенных ранее исследований, свидетельствующих о том, что причиной утечек информации в организациях финансовой сферы зачастую становятся их сотрудники. Тем не менее, особенностью данной угрозы является тот факт, что ущерб наносится не только репутации банков, но и их многочисленным клиентам, в частности физическим лицам.

хотя из изложенного здесь и знания технологий работы банкоматов - многое из написанного чистой воды PR. Либо писавший весьма приблизительно представляет сии технологии.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

Тут отжигают новостеделатели -

Образец этого троянца Служба вирусного мониторинга компании «Доктор Веб» получила через сервис онлайн-сканера.

Вот так в свободном движении этот троян и ходит по миру.... :D То есть на самом деле - это надо было "вынуть" софт из банкомата, найти подозрительный файлик (причем найти его непросто - там не только ОС, но и система управления роботом! Знали, откуда брать) и проверить он-лайн сканером. Или сознательный банкомат сам отправил лишний контент? И сканер его тут же определил???

Слишком много натяжек, господа новостеделатели....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin

http://www.virustotal.com/ru/analisis/1e2b...0805f503a80bafb

ходят слухи, что отсюда получили, а раньше у них ничего не было.

http://www.secureblog.info/articles/444.html

Кстати http://www.threatexpert.com/report.aspx?md...878650e27d81010

обратите внимание на дату слива.

Submission received: 11 November 2008, 23:01:54

Вообщем новость - чистой воды пеар. на сайте производителя банкоматов давно новость висит. Потом софос спохватился и в блоге написал. Почти все аверы, кто полчил сэмпл просто на автомате его добавили и все.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

полностью согласен, о чем и написал. БОлее того, мало говорят о типе банкомата, подверженного атаке... А это важно! Их ведь намного меньше, чем вообще банкоматов ДиБолд

С сайта ДиБолда - Opteva family уже защищена, причем новости примерно три месяца

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin

Ваня Швайцер говорит и о типе вроде.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

Я здесь конкретно докторовскую новость рассматриваю

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
georgy_n
Я здесь конкретно докторовскую новость рассматриваю

А кому верить? - вопрос избыточный, но есть категория...

Не скажу, что Доктор плохой, но остальные-то чем лучше? Даже не в плане новости... - пиар, понятно; не в тему - Вы пользуетесь Аваст и Доктором (на сколько понял)... У первого мне нравится их Live CD - хороший инструмент..

Я был бы рад, если бы Вы привели несколько аргументов в пользу Аваст / его преимущества... не сравнивая с Доктором, естественно :) дабы не вызвать нареканий. Возможно, в блоге. Мне лично интересно Ваше мнение / впечатления...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Исходя из блогов Алекса и Вячеслава, у Доктора даже семпла не было, что не помешало им выкатить новость, сперев ее у Софоса без указания первоисточника.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

я полагаю, что тема уже исчерпана, лично для так точно. Я видел, как работает троян, я знаю его функционал, я знаю, почему был выбран некоторый бренд для атак, постарался публике рассказать, что в новости правда, а что нет.

Что касается моего антивируса - у меня его нет. На корпоративном ноуте -я на нем не могу менять софт - стоит корпоративный Аваст! (компания европейская), на всех остальных объектах - ставлю все, что нравится или что хочу пощупать. Вот погонял Симпл антивирус. Доктор ставлю время от времени - я знаю продукт неплохо, ко мне обращаются за помощью - если выходит новость об обновлении - я смотрю - что и как. Если хотите - я сделаю тест для Аваст! по своей методике, на своей коллекции. Замечу, что после присоединения Gmer продукт существенно прибавил. На сегодня на корпоративном ноуте никаких вредоносов я не находил, хотя в интернете он висит 12 часов в день (если не в командировке)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Исходя из блогов Алекса и Вячеслава, у Доктора даже семпла не было, что не помешало им выкатить новость, сперев ее у Софоса без указания первоисточника.

Я про сэмпл ничего такого не говорил. Судя по http://updates.drweb.com сэмпл был добавлен 19го числа. Однако найден он был... я сейчас расскажу как (предположение).

Кто то увидел новость, выложенную на блоге Софоса и срочно начал названивать в вирлаб.

Полезной информации для поиска в статье мало, но есть отличная картинка. А что если взять строчки, зафигачить одну из них в поиск и проверить всю помойку, пришедшую с virustotal за определенный промежуток времени? Возьмем, например, "DbdDevAPI.dll" и начнем искать, а вдруг сэмпл не упакован? Достаточно найти один сэмпл и можно придумать способ поиска получше.

2 дня искали, искали и находили... :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Я про сэмпл ничего такого не говорил.

Я объединил оба ваших блога. Про семпл говорил Сергей. Он же показал вот такой скриншот:

bafb.png

Дата проверки в него не попала, но там 2009.23.03

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Я объединил оба ваших блога. Про семпл говорил Сергей. Он же показал вот такой скриншот:

Дата проверки в него не попала, но там 2009.23.03

Все дело в том, что сэмплов несколько.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest 98-й
сэмпл был добавлен 19го числа

18- го.

Однако найден он был... я сейчас расскажу как (предположение).

virustotal тут вряд ли при делах.

http://www.virustotal.com/ru/analisis/a5b1...787eeb0a2ab12bf

http://www.virustotal.com/ru/analisis/1e2b...0805f503a80bafb

http://www.virustotal.com/nl/analisis/a5b1...787eeb0a2ab12bf

http://www.virustotal.com/pt/analisis/8997...870ffe9f6ad034d

http://www.virustotal.com/ko/analisis/cfb5...53323bdf3e3fdb0

это всё один и тот же файл и именно он не детектился, доктором как я понимаю, минимум до 23-го числа.

Все дело в том, что сэмплов несколько.

Согласно, http://updates.drweb.com/, четыре есть точно, если я правильно понимаю циферку (4) в скобках.

Согласно, http://forum.drweb.com/index.php?showtopic...mp;#entry296623 еще больше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
18- го.

18-го, так 18-го, видимо я что-то проглядел на апдейтс.дрвеб.ком

Голактеко спасено. Вытащили все с вирустотала. Молодцом!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

98-й

Первый и третий линк - дубли, просто на разных языках.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest 98-й
Вытащили все с вирустотала

Я выше уже написал.

Похоже не все так просто.;)

Первый и третий линк - дубли, просто на разных языках.

Да и х.. с ними.

Непринципиально.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Я выше уже написал.

Похоже не все так просто.;)

Что конкретно не так просто? Вот это я как раз выше написал. Достаточно найти все по маске или найти сначала один, а потом найти все остальные по маске.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
99-й
Что конкретно не так просто? Вот это я как раз выше написал. Достаточно найти все по маске или найти сначала один, а потом найти все остальные по маске.

А другим лень по мусорке было поискать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
seevbon

В прошлые четверг или пятницу -не помню -в новостях на питерском 5 канале И.Данилов хорошо смотрелся комментируя эту новость. А представители банков выглядели подавленными и лопотали невнятно =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Да Данилов вообще молодец в этом плане - умеет красиво, четко и оригинально сказать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

просто банкам надо было выводить на ТВ не Пиарщиков, а банкоматчиков. Тогда смотрелось бы по - другому. Типа "ох, уж эти сказочки, ох, уж эти сказочники". Пример - главный вопрос - обход аппаратного шифрования ПИН - кода или "почему DieBold?". Я ответ знаю, а комментаторы из антивирусных лабораторий эту тему мягко обходят, рассказывая про число сэмплов... А сколько из них взято из банкоматов? В этом смысле понравились комментарии Кирилла

ИМХО - это теперь просто "красивая" тема для пиара, когда о проблеме говорят ВСЕ, а особенно много те, которые в самой проблеме мало понимают. Журналисты поймали "жареную" тему.... Тысячи пострадавших.... Миллионы потерянных денег.... Опасности кругом - не подходите к банкоматам, пользуйтесь кэшем.... А вот думаю, что все это - большой мыльный пузырь.... Не сложно узнать и число пострадавших, поскольку имеем место с разновидностью карточного фрода. Значит, меньше, чем через месяц мы узнаем и число потерь...

А пока цифры пострадавших банков не поражают... Как и число банкоматов....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Рашевский Роман
Да Данилов вообще молодец в этом плане - умеет красиво, четко и оригинально сказать.

Согласен, но вот говорит Данилов крайне редко. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
Согласен, но вот говорит Данилов крайне редко.

Зато метко и жестко;)

Тысячи пострадавших.... Миллионы потерянных денег....

муха -> слон

Выше я привел направление всех СМИ:)

А вот думаю, что все это - большой мыльный пузырь....

Мда... я тоже часто думаю такую думу про очень многие вещи в нашем мире. Особенно про СМИ в общем и про "звезд" в частности.

Также к слову не могу не привести цитату из интервью с Игорем Даниловым (там тоже есть про мыльный пузырь):

3bbc29bb86b8.png

...

...

1b14682a107d.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

я - волею случая -в курсе этих высказываний, как и многих других, в прессу не попавших. В данном случае мнение в обсуждении ведь одно - журналисты "раскручивают" тему. Точнее, раскручивали - интерес как то резко "сдулся"... Статистика - хоть и неутешительная в целом - пока не подтвердила никоим образом мрачные цифры... А поскольку тут затронуты непосредственно интересы международных платежных систем (а не управления К, как с испугу написали СМИ. Оно вроде как должно искать автора в этом случае) и банков - то скоро размеры "пузыря" будут оценены

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
журналисты "раскручивают" тему.

Старая тема уже, но всё же: вчера на первом канале (Новости 18:00 ч.) тоже раскручивали тему про троян в банкоматах на целых 5 минут. Злоумышленников поймали в Питербурге; автор Трояна - неизвестен. Там следователи были, которые всё показали, и жертвы ('крупные бизнесмены и известные спортсмены'), которые рассказывали про свою беду. Говорили, что некоторым банкам пришлось переделывать свои механизмы. Пиарщиков из Индустрии Безопасности НЕ пригласили. Раза 3-4 подчёркивали, что эксперты до этого думали, что это невозможно. Что думать теперь простым смертным? :rolleyes:

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

×