Троян Trojan.MWZLesson заражает платежные терминалы

Специалисты компании «Доктор Веб» исследовали троянца, умеющего заражать платежные терминалы. POS-троянец, добавленный в вирусные базы Dr.Web под именем Trojan.MWZLesson, после своего запуска регистрирует себя в ветви системного реестра, отвечающей за автозагрузку приложений.


В его архитектуре предусмотрен модуль, сканирующий оперативную память инфицированного устройства на наличие в ней треков банковских карт. Этот код злоумышленники позаимствовали у другой предназначенной для заражения POS-терминалов вредоносной программы, известной под именем Trojan.PWS.Dexter. Обнаруженные треки и другие перехваченные данные троянец передает на управляющий сервер.

Trojan.MWZLesson умеет перехватывать GET- и POST-запросы, отправляемые с зараженной машины браузерами Mozilla Firefox, Google Chrome или Microsoft Internet Explorer, — эти запросы троянец дублирует на принадлежащий злоумышленникам управляющий сервер. Кроме того, данная вредоносная программа может выполнять следующие команды:

  • CMD — передает поступившую директиву командному интерпретатору CMD;
  • LOADER — скачивает и запускает файл (dll — c использованием утилиты regsrv, vbs — c использованием утилиты wscript, exe — осуществляется непосредственный запуск);
  • UPDATE — команда обновления;
  • rate — задает временной интервал сеансов связи с управляющим сервером;
  • FIND — поиск документов по маске;
  • DDOS — начать DDoS-атаку методом http-flood.

Часть кода раньше встречалась в составе другой вредоносной программы — многофункционального бэкдора BackDoor.Neutrino.50, урезанной и сокращенной версией которого по сути и является Trojan.MWZLesson.

©  Ferra.ru