Специалисты «Доктор Веб» изучили работу очередного трояна под именем Trojan.MWZLesson для POS-терминалов. После своего запуска зловред регистрирует себя в ветви системного реестра, отвечающей за автозагрузку приложений. В его архитектуре предусмотрен модуль, сканирующий оперативную память инфицированного устройства на наличие в ней реквизитов банковских карт. Этот код злоумышленники позаимствовали у другой предназначенной для заражения POS-терминалов вредоносной программы, известной под именем Trojan.PWS.Dexter. Обнаруженные треки и другие перехваченные данные троян передает на управляющий сервер. Trojan.MWZLesson умеет перехватывать GET- и POST-запросы, отправляемые с зараженной машины браузерами Mozilla Firefox, Google Chrome или Microsoft Internet Explorer, – эти запросы троян дублирует на принадлежащий злоумышленникам управляющий сервер. Кроме того, данная вредоносная программа может выполнять следующие действия:выполнение произвольной команды через командный интерпретатор CMD; загрузка и запуск скриптов, произвольных файлов и DLL-библиотек; обновление версии трояна; задание временного интервала связи с командным сервером; поиск документов и файлов; DDoS-атака по методу http-flood. Обмен данными с управляющим центром Trojan.MWZLesson осуществляет по протоколу HTTP, при этом пакеты, которые троян отсылает на удаленный сервер, не шифруются, однако вредоносная программа использует в них специальный параметр cookie, при отсутствии которого командный сервер игнорирует поступающие от трояна запросы. В процессе изучения внутренней архитектуры Trojan.MWZLesson выяснилось, что программный код заимствован из BackDoor.Neutrino.50, урезанной и сокращенной версией которого по сути и является Trojan.MWZLesson. Помимо функций трояна для POS-терминалов, данный бэкдор обладает возможностью красть информацию из почтового клиента Microsoft, а также учетные данные для доступа к ресурсам по протоколу FTP с использованием ряда популярных FTP-клиентов. При своем распространении троян использует эксплойты для уязвимости CVE-2012-0158. Зафиксированы случаи загрузки этой вредоносной программы с различных взломанных злоумышленниками сайтов.
Источник