Вирус, который угрожает банкам, обнаружил «Доктор Веб»

02.05.2014

Trojan.Skimer.19 – троянская программа, которая может инфицировать банкоматы зарубежных производителей, которые используются большим количеством банков, как на территории России, так и на территории Украины, - сообщили аналитики компании «Доктор Веб»
Динамическая библиотека этого троянца хранится в NTFS-потоке другого вредоносного файла, который детектируется антивирусным программным обеспечением Dr.Web как Trojan.Starter.2971

Trojan.Skimer.19 хранит свои файлы журналов в потоках инфицированной системы, которая использует файловую систему NTFS. В эти журналы Trojan.Skimer.19 записывает ключи, которые используют для расшифровки информации, а также треки банковских карт.
Троянец, инфицировав операционную систему банкомата, перехватывает нажатия клавиш EPP (Encrypted Pin Pad) в ожидании специальной комбинации. Эту комбинацию Trojan.Skimer.19 активирует и может выполнить данную команду на клавиатуре, которая была введена злоумышленником.
Перечень выполняемых команд:

•  сохранить лог-файлы, расшифровать PIN-коды; 
•  удалить троянскую библиотеку, файлы журналов, «вылечить» файл-носитель, перезагрузить систему (два раза отдаётся команда инфицированному банкомату, второй раз команда отдаётся до 10 секунд после первого); 
• вывести на дисплей банкомата следующие окна: количество транзакций, которые выполнены, уникальных карт, перехваченных ключей и многое другое; 
• обновить файл троянца, после считывания исполняемого файл с чипа карты.

Trojan.Skimer ориентированы уже на три типа банкоматов.
Компания «Доктор Веб» информирует, что и по сей день злоумышленники атакуют банковские системы используя Trojan.Skimer.19.