21 febbraio 2014

Le minacce informatiche moderne sono rivolte non soltanto agli utenti finali. Spesso i malintenzionati prendono sotto mira varie istituzioni finanziarie e creano trojan per i bancomat e i terminali di pagamento. A questo proposito, Doctor Web avverte di un programma malevolo, nominato Trojan.PWS.OSMP.21, che infetta i terminali di un sistema di pagamento tra i più diffusi in Russia.

Il Trojan.PWS.OSMP.21 è una libreria dinamica che si infiltra in un terminale di pagamento da un dispositivo della memoria flash compromesso. Inoltre, per intrufolarsi nel sistema il trojan può utilizzare un programma-dropper. Una volta penetrata nel computer, la libreria malevola si copia nella cartella Application Data sotto il nome win.sxs e tramite una delle sue funzioni si iscrive nel ramo del registro di Windows responsabile dell'esecuzione automatica sotto il nome di Taskbar.

In seguito un'altra funzione della libreria cerca nel sistema un processo in esecuzione che realizza le funzioni di pagamento del terminale. Se la libreria non trova questo processo, avvia una procedura di infezione di dispositivi della memoria flash. Però se il processo cercato risulta attivo, il Trojan.PWS.OSMP.21 ottiene il file di configurazione config.dat e i file dei log dalla cartella in cui si trova il modulo eseguibile di quest'applicazione e anche raccoglie le informazioni riguardanti il disco fisso del computer, dopo di che trasmette tutti questi dati in forma cifrata verso un server appartenente ai malintenzionati. In caso di trasmissione riuscita, il trojan si rimuove.

La firma antivirale Trojan.PWS.OSMP.21 è stata aggiunta ai database Dr.Web il 14 febbraio, quindi questo programma malevolo viene rilevato e neutralizzato dagli antivirus della società Doctor Web.