Bankkártyánk adataira fáj a foga a legújabb vírusnak

Újabb trójai program állította célkeresztbe a bank- és hitelkártyák elfogadására alkalmas terminálokat. A károkozó teljes körű irányítási lehetőséget ad a kiberbűnözők kezébe.
 

A bankkártyákat kezelő POS termináloknak egyre több kártékony programmal szemben kell állniuk a sarat. Megfelelő védelmi intézkedések és eszközök nélkül azonban teljesen kiszolgáltatottá válhatnak, ami adatlopáshoz és a felhasználók bizalmas adatainak illetéktelen kezekbe kerüléséhez vezethet. A POS károkozók esetében is jól megfigyelhető, hogy azok funkcionalitása folyamatosan bővül, miközben mind szofisztikáltabb módszerekkel veszik célba a terminálokat, számítógépeket. Egy ilyen károkozóra akadtak a Dr.Web kutatói is, akik közzétették az elemzéseik során szerzett legérdekesebb tapasztalataikat.
 
Az új, MWZLesson névre keresztelt trójai program a fertőzése során először arról gondoskodik, hogy az áldozatává váló rendszerek újraindítása után is életképes maradjon. Ezért nekifog a regisztrációs adatbázis manipulálásának. A kártevő jelenlegi variánsa egy hh.exe nevű fájlt hoz létre egy véletlenszerű névvel ellátott mappába. Ezt a fájlt indítja el a Windows minden egyes betöltődésekor.
 
Amikor a trójai az előkészítő feladataival végez, akkor rögtön nekilát az ártalmas tevékenységeihez. Más, ilyen jellegű károkozóhoz hasonlóan az MWZLesson is elsősorban a memória folyamatos monitorozásával próbál értékes információkhoz jutni. A memóriába kerülő kártyainformációkat (egyebek mellett reguláris kifejezések segítségével) kigyűjti, majd rendszeres időközönként feltölti azokat az adattolvajok szervereire. Ennél a hagyományosnak nevezhető módszernél azonban többre is képes. Leginkább azért, mert a hálózati adatforgalmat is kémleli. Ebből a szempontból azokat a GET és POST kéréseket figyeli, amelyeket az Internet Explorer, a Firefox és a Chrome webböngészők generálnak. Ráadásul a hálózati adatforgalmat át tudja irányítani a támadók által működtetett kiszolgálókra.

Funkciógazdag kialakítás