Вирус Trojan.PWS.OSMP.21 и способы борьбы

TerminalTech.ru / Статьи / Новый вирус Trojan.PWS.OSMP.21

Внимание, последнее время участились случаи заражения платежных терминалов вирусом Trojan.PWS.OSMP.21
Вредоносная программа, заражает терминалы одной из наиболее популярных в России платежных систем. Распространяется в виде динамической библиотеки, предположительно через инфицированные флеш-накопители с использованием программ-дроперов.

Кратко:

С использованием функции DllUnregisterServer троянец регистриуется в отвечающей за автозагрузку ветви системного реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Run с именем Taskbar. Затем, с использованием функции DllRegisterServer троянец ищет запущенный процесс maratl.exe, если такой процесс обнаружить не удается, Trojan.PWS.OSMP.21 запускает процесс заражения флеш-накопителей. Если процесс maratl.exe обнаружен, вредоносная программа пытается получить из папки, в которой размещается исполняемый модуль данного приложения, файл config\config.dat и несколько файлов журналов. Также троянец собирает информацию о жестком диске устройства, после чего все эти данные в зашифрованном виде передаются на принадлежащий злоумышленникам сервер с использованием метода POST. В случае успешного завершения передачи троянец самоудаляется.

Немного подробнее:

Троянская программа Trojan.PWS.OSMP.21 распространяется в виде динамической библиотеки, которая проникает в терминал с использованием инфицированного флеш-накопителя. Также для этой угрозы обнаружена программа-дроппер. После проникновения в платежный терминал вредоносная библиотека копируется в папку Application Data под именем win.sxs и с использованием одной из своих функций прописывает себя в отвечающую за автозагрузку ветвь системного реестра Windows под именем Taskbar.

Затем другая функция ищет в системе запущенный процесс, относящийся к платежному функционалу терминала, и, если не обнаруживает его, запускает процедуру заражения флеш-накопителей. Если же искомое приложение оказывается активным, Trojan.PWS.OSMP.21 пытается получить из папки, в которой размещается исполняемый модуль данного приложения, конфигурационный файл config.dat, файлы журналов, а также собирает информацию о жестком диске устройства, после чего все эти данные в зашифрованном виде передаются на принадлежащий злоумышленникам сервер. В случае успешного завершения передачи троянец самоудаляется.

Простым языком:

Программа ворует ваши авторизационные данные и передает их на сервер мошенников, которые запускают дублер точки и выводят ваши средства с баланса.

Метод борьбы

ШАГ 1: Эффективным методом борьбы с вирусом является создание одноразовых паролей для терминала. Как это сделать скачайте инструкции здесь
ШАГ 2: Установка антивируса Dr.Web на ваш терминал

НЕ ДУМАЙТЕ ЧТО ВАС ОБОЙДЕТ СТОРОНОЙ! ЗАЩИЩАЙТЕСЬ УЖЕ СЕГОДНЯ!!!

FAQ:

Q: Помогает ли привязка программы к оборудованию?
A: Нет.

Q: Куда вирус переводит средства?
A: Разным провайдерам: Мегафон, Билайн, МТС, Смартс, Qiwi Visa Wallet

Q: Когда вирус переводит средств?
A: 80% случаев в ночное время, когда вы скорее всего спите. Интервалы между пакетами платежей составляют несколько минут. А утром отменять платежи уже бессмысленно, они будут выведены со счетов...

Q: Как определить вирус ли это переводит средства или нет?
A: Номера квитанций дублируются со старыми платежами. Так же после снятия выручки нужно сделать сверку инкассации.

Q: Что делать если уже вывели средства?
A: Сначала обратиться в СБ киви, для этого позвоните по телефону +7 (800) 333-69-00, попросите соеденить со СБ, без истерик объясните всю ситуацию, СБ попробуют отменить платежи. Так же вам необходимо сохранить и распечатать логи с терминалов, а так же информацию со сверки инкассации и братиться в полицию. Вашим делом будет заниматься скорее всего отдел К.