Адрес: https://polit.ru/news/2011/03/16/Trojan/


16 марта 2011, 16:14

В платежных терминалах Qiwi обнаружили вирус-«троян»

Специалисты компании «Доктор Веб» (Dr.Web) обнаружили в терминалах одной из крупнейших российских платежных систем ОСМП (розничный бренд Qiwi) вирус-троян Trojan.PWS.OSMP, подменяющий номера счетов, на которые осуществляются платежи, отправляя деньги напрямую к злоумышленникам.

Технология взлома терминалов следующая. Первоначально через съемные носители, в частности USB, в операционную систему (ОС Windows) попадает программа BackDoor.Pushnik, написанная на Delphi. Как только такая «флешка» подключается к терминалу, происходит автозапуск «бэкдора». Далее вирус получает с сервера первого уровня конфигурационную информацию, в которой присутствует адрес управляющего сервера второго уровня. С него, в свою очередь, исходит «задача» загрузить исполняемый файл (троянскую программу Trojan.PWS.OSMP) с третьего сервера. Попадая в ОС, «троянец» находит файл maratl.exe и меняет его память. В сущности, троянская программа позволяет злоумышленникам исправить любой номер счета, на который пользователи отправляют деньги.

Последняя известная модификация Trojan.PWS.OSMP, появившаяся в конце февраля 2011 года, действует уже по другой схеме. Она крадет конфигурационный файл, что, теоретически, может помочь создать поддельный терминал на обыкновенном компьютере, направлять деньги на собственный счет можно в электронной форме, минуя купюроприемник.

Специалисты «Доктор Веб» уже передали всю известную им информацию компании — владельцу терминалов.