Компания «Доктор Веб» обнаружила троянца Trojan.PWS.OSMP, заражающего терминалы одной из крупнейших российских платежных систем ОСМП (розничный бренд QIWI). Эта вредоносная программа вмешивается в работу легального процесса maratl.exe, запущенного в операционной системе терминала, и подменяет номер счета, на который осуществляет платеж пользователь. Таким образом, деньги попадают напрямую к злоумышленникам. Первоначально в операционную систему платежного терминала (ОС Windows) попадает BackDoor.Pushnik, представляющий собой вредоносную программу в виде исполняемого файла, написанного злоумышленниками на языке Delphi. Передается он через съемные носители, в частности USB Flash Drive. Как только такая «флешка» подключается к терминалу, происходит автозапуск бэкдора. В дальнейшем BackDoor.Pushnik получает с сервера первого уровня конфигурационную информацию, в которой присутствует адрес управляющего сервера второго уровня. С него, в свою очередь, исходит «задача» загрузить исполняемый файл (троянскую программу Trojan.PWS.OSMP) с третьего сервера. Trojan.PWS.OSMP – одна из первых вредоносных программ, представляющих опасность для клиентов платежных терминалов. Попадая в операционную систему, троянец проверяет программное обеспечение, установленное на терминале и осуществляет поиск процесса maratl.exe, который является вполне легальной программой. Далее Trojan.PWS.OSMP встраивается в maratl.exe, меняя его память. В сущности, троянская программа позволяет злоумышленникам исправить любой номер счета, на который пользователи отправляют деньги. Средства, таким образом, попадают напрямую вирусописателям. Последняя известная модификация Trojan.PWS.OSMP, появившаяся в конце февраля 2011 года, действует уже по другой схеме. Она крадет конфигурационный файл, что, предположительно, может помочь злоумышленникам создать поддельный терминал на обыкновенном компьютере и направлять деньги на собственный счет в электронной форме, минуя купюроприемник. Сейчас можно с уверенностью говорить, что Trojan.PWS.OSMP представляет наибольшую опасность для терминалов, подключенных к Интернету и использующих maratl.exe. Специалисты «Доктор Веб» уже передали всю известную им информацию компании — владельцу терминалов, которые находятся под угрозой. По оценкам специалистов из процессинговой компании вероятность заражения терминалов этим троянцем является невысокой ввиду специфики обслуживания. По их словам, активность Trojan.PWS.OSMP на данный момент оценивается как низкая. (11:43) 16.03.2011 http://www.cybersecurity.ru/crypto/117788.html
Главное заранее панику поднять и дать информацию везде и где попало. Пользователям то что собственно..
Если у них на машинах такой бардак творится, то что тогда в администрации? Хотя сервис весьма удобный, приятно работать.
Я задавал этот вопрос тут (надо было по делу). Вся дрянь лезет через открытые порты,сам терминал работает через GPRS. Способов заразить много.
Нет. Некоторые терминалы имеют выход в интернет. Когда то имел дело с подобным, но так как не было времени вникать, я не него забил. Сейчас думаю, зря.
Платежный сервис QIWI информирует своих пользователей и партнеров о существенном искажении появившейся вчера на сайте "Доктор Web" информации об угрозе платежным терминалам троянской программы. В этой связи компания распространила официальное письмо президента группы QIWI Андрея Романенко. Приводим текст этого письма полностью, как есть, без отступлений и редактирования. Выводы делаем сами... Информируем наших партнеров, коллег, представителей СМИ и пользователей о реальном положении дел: • Появление вируса, который специалистами компании "Доктор Web" был назван "вирус-троян Trojan.PWS.OSMP", было зафиксировано нашей специализированной системой мониторинга вредоносных программ 20 февраля 2011 года. • По факту обнаружения мы оперативно отреагировали и произвели необходимые действия по устранению возможных угроз со стороны этого вредоносного ПО. • В результате ни один наш клиент не пострадал, никаких краж и несанкционированных действий не было зафиксировано. • Ежедневно через платежный сервис QIWI проходит более 10 млн. транзакций, и мы прекрасно понимаем интерес злоумышленников, именно поэтому уделяем максимум внимания безопасности и надежности нашего сервиса. • QIWI использует многоуровневую систему защиты, которая успешно противостоит атакам, в том числе систему Anti-Fraud, которая сумеет распознать любую атаку и заблокировать поступление платежей с "фальшивого" терминала, созданного путем хищения конфигурационного файла. • Платежный сервис QIWI продолжает свою работу в стандартном режиме, обеспечивая пользователей безопасным и надежным сервисом.
Мда, авторов и распространителей найдут, и они отхватят большие сроки, ибо работа по РУ осуждается и карается по всей строгости.
