Антивирусный вендор «Доктор Веб» объявил сегодня об обнаружении трояна, заражающего терминалы одной из крупнейших российских платёжных систем. Вредоносная программа способна вмешиваться в работу легального процесса, запускаемого в операционной системе терминала (а операционная система эта — Windows), и подменять номер счёта, на который осуществляется платёж, так что деньги достаются злоумышленникам.
Название процесса (maratl.exe) выдаёт название платёжной системы специалистам, а последние четыре буквы в наименовании, присвоенном «Доктор Веб» троянцу, — Trojan.PWS.OSMP, показывает всем остальным, хотя в самой антивирусной компании не слишком хотят акцентировать на этом факте внимание.
Как пояснили «Компьютерре» в пресс-службе компании, троянец был обнаружен не в самих терминалах; то есть говорить о том, что пользоваться этой платёжной системой сейчас опасно, не приходится. С другой стороны, информацией о фактах заражения в «Доктор Веб» не обладают, поскольку доступа к терминалам у специалистов компании, понятное дело, нет. Сама процессинговая компания, естественно, заявляет, что вероятность заражения и общая степень угрозы весьма низки. И тут остаётся только верить на слово.
В любом случае, судя по приводимому «Доктор Веб» описанию, заразить платёжный терминал можно только «вручную»: первым в операционную систему должен проникнуть бэкдор Pushnik, который передаётся через съёмные носители, в частности флэшки. В дальнейшем BackDoor.Pushnik получает с сервера первого уровня конфигурационную информацию, в которой присутствует адрес управляющего сервера второго уровня. С него, в свою очередь, поступает команда загрузить исполняемый файл (троянскую программу Trojan.PWS.OSMP) уже с третьего сервера.
Самая новая из известных модификация этого трояна, кстати, действует уже по другой схеме: крадёт конфигурационный файл, что, по предположению специалистов «Доктор Веб», может помочь злоумышленникам буквально создать поддельный терминал на любом компьютере, а это позволит направлять деньги на собственный счёт в электронной форме, минуя купюроприёмник.