Последние версии трояна могут активироваться не только с помощью набранного на клавиатуре банкомата кода, но и с использованием специальных карт.
В распоряжении вирусных аналитиков компании "Доктор Веб" появился образец троянца Trojan.Skimer.19, способного инфицировать банкоматы одного из зарубежных производителей, используемые многочисленными банками на территории России и Украины. Об этом компания сообщила в пресс-релизе.
Основной вредоносный функционал этого троянца, как и его предыдущих модификаций, реализован в виде динамической библиотеки, которая хранится в NTFS-потоке другого вредоносного файла, детектируемого антивирусным ПО Dr.Web как Trojan.Starter.2971. Если в инфицированной системе используется файловая система NTFS, Trojan.Skimer.19 также хранит свои файлы журналов в потоках - в эти журналы троянец записывает треки банковских карт, а также ключи, используемые для расшифровки информации.
Заразив операционную систему банкомата, Trojan.Skimer.19 перехватывает нажатия клавиш EPP (Encrypted Pin Pad) в ожидании специальной комбинации, с использованием которой троянец активируется и может выполнить введенную злоумышленником на клавиатуре команду. Среди выполняемых команд можно перечислить следующие: сохранить лог-файлы на чип карты, расшифровать PIN-коды; удалить троянскую библиотеку, файлы журналов, "вылечить" файл-носитель, перезагрузить систему (злоумышленники дважды отдают команду инфицированному банкомату, второй раз - не позднее 10 секунд после первого); вывести на дисплей банкомата окно со сводной статистикой: количество выполненных транзакций, уникальных карт, перехваченных ключей и т. д.; уничтожить все файлы журналов; перезагрузить систему; обновить файл троянца, считав исполняемый файл с чипа карты.
"Это уже третий тип банкоматов, на которые ориентированы троянцы семейства Trojan.Skimer. Согласно имеющейся у "Доктор Веб" информации, организованные злоумышленниками атаки на банковские системы с применением Trojan.Skimer.19 продолжаются и по сей день", - отмечает компания.