Источник: oreanda.ru
Современные угрозы ориентированы не только на конечных пользователей - злоумышленники не обделяют вниманием и различные финансовые организации, создавая троянские приложения для банкоматов и специализированных платёжных терминалов. Компания "Доктор Веб" предупреждает об одном из таких троянцев - Trojan.PWS.OSMP.21. Эта вредоносная программа заражает терминалы одной из наиболее популярных в России платёжных систем.
Троянская программа Trojan.PWS.OSMP.21 распространяется в виде динамической библиотеки, которая проникает в терминал с использованием инфицированного флеш-накопителя. Также для этой угрозы обнаружена программа-дроппер. После проникновения в платёжный терминал вредоносная библиотека копируется в папку Application Data под именем win.sxs и с использованием одной из своих функций прописывает себя в отвечающую за автозагрузку ветвь системного реестра Windows под именем Taskbar.
Затем другая функция ищет в системе запущенный процесс, относящийся к платёжному функционалу терминала, и, если не обнаруживает его, запускает процедуру заражения флеш-накопителей. Если же искомое приложение оказывается активным, Trojan.PWS.OSMP.21 пытается получить из папки, в которой размещается исполняемый модуль данного приложения, конфигурационный файл config.dat, файлы журналов, а также собирает информацию о жестком диске устройства, после чего все эти данные в зашифрованном виде передаются на принадлежащий злоумышленникам сервер. В случае успешного завершения передачи троянец самоудаляется.
Сигнатура Trojan.PWS.OSMP.21 была добавлена в вирусные базы Dr.Web ещё 14 февраля, это вредоносное приложение успешно обнаруживается и удаляется антивирусными программами "Доктор Веб".