26.03.2011 Новости, БезопасностьКомпания «Доктор Веб» опубликовала сведения о заражении троянцем Trojan.PWS.OSMP терминалов одной из крупнейших российских платежных систем. Вредоносное ПО вмешивается в работу легального процесса maratl.exe, запущенного в ОС терминала, и подменяет номер счета, на который пользователь проводит платеж. Таким образом, деньги попадают напрямую к злоумышленникам. Первоначально в ОС Windows платежного терминала попадает BackDoor.Pushnik – исполняемый файл на языке Delphi. Он передается через съемные носители, в частности USB Flash, при подключении их к терминалу. В дальнейшем бэкдор получает с сервера первого уровня конфигурационную информацию, в которой присутствует адрес управляющего сервера второго уровня. С него, в свою очередь, исходит задача загрузить исполняемый файл троянца с третьего сервера. Trojan.PWS.OSMP – одна из первых вредоносных программ, представляющих опасность для клиентов платежных терминалов. Попадая в ОС, она проверяет установленное на терминале ПО в поисках процесса maratl.exe, и встраивается в процесс, меняя его память. В сущности, троянская программа позволяет злоумышленникам исправить любой номер счета, на который пользователи отправляют деньги. Последняя известная модификация Trojan.PWS.OSMP, появившаяся в конце февраля, действует по другой схеме. Она крадет конфигурационный файл, что предположительно может помочь злоумышленникам создать поддельный терминал на обычном компьютере и направлять деньги на собственный счет в ...
читать далее.