Вірус, який загрожує банкам, виявив «Доктор Веб»
02.05.2014
Trojan.Skimer.19 - троянська програма, яка може інфікувати банкомати зарубіжних виробників, які використовуються великою кількістю банків, як на території Росії, так і на території України, - повідомили аналітики компанії «Доктор Веб»
Динамічна бібліотека цього троянця зберігається в NTFS-потоці іншого шкідливого файлу, який детектується антивірусним програмним забезпеченням Dr.Web як Trojan.Starter.2971
Trojan.Skimer.19 зберігає свої файли журналів в потоках інфікованої системи, яка використовує файлову систему NTFS. У ці журнали Trojan.Skimer.19 записує ключі, які використовують для розшифрування інформації, а також треки банківських карт.
Троянець, інфікувавши операційну систему банкомату, перехоплює натиснення клавіш EPP (Encrypted Pin Pad) в очікуванні спеціальної комбінації. Цю комбінацію Trojan.Skimer.19 активує і може виконати цю команду на клавіатурі, яка була введена зловмисником.
Перелік виконуваних команд:
- зберегти лог-файли, розшифрувати PIN-коди;
- видалити троянську бібліотеки, файли журналів, «вилікувати» файл-носій, перезавантажити систему (два рази віддається команда інфікованій банкомату, другий раз команда віддається до 10 секунд після першого);
- вивести на дисплей банкомату наступні вікна: кількість транзакцій, які виконані, унікальних карт, перехоплених ключів та багато іншого;
- оновити файл трояна, після зчитування виконуваний файл з чіпа карти.
Trojan.Skimer орієнтовані вже на три типи банкоматів.
Компанія «Доктор Веб» інформує, що і донині зловмисники атакують банківські системи використовуючи Trojan.Skimer.19.