Protege lo creado

Otros recursos

  • free.drweb-av.es — utilidades gratuitas, complementos, informadores
  • av-desk.com — un servicio en Internet para los proveedores de servicios Dr.Web AV-Desk
  • curenet.drweb.com — utilidad de desinfección de red Dr.Web CureNet!
Cerrar

Mi biblioteca
Mi biblioteca

+ Añadir a la biblioteca

Soporte
Soporte 24 horas | Normas de contactar

Sus solicitudes

Perfil

Volver a las noticias

Trojan.MWZLesson – un troyano para terminales POS

15 de septiembre de 2015

A lo largo de muchos años los terminales POS siguen siendo un objetivo atractivo para los creadores de virus, por ser aplicados en muchas organizaciones comerciales de todo el mundo para realizar los pagos usando las tarjetas bancarias. Los expertos de la empresa Doctor Web han investigado a otro troyano que puede infectar los terminales de pago y que en realidad resultó ser una modificación de toro programa nocivo que nuestros analistas de virus conocen muy bien.

El troyano POS, añadido a las bases de virus Dr.Web bajo el nombre de Trojan.MWZLesson, una vez iniciado, registra a sí mismo en la rama del registro de sistema responsable de autoinicio de aplicaciones. Su arquitectura tiene previsto un módulo que escanea la memoria operativa del dispositivo infectado en busca de tracks de tarjetas bancarias en la misma. Este código los malintencionados lo prestaron de otro programa nocivo, destinado para infectar los terminales POS y conocido bajo el nombre de Trojan.PWS.Dexter. El troyano transmite los tracks detectados y otros datos interceptados al servidor administrativo.

Trojan.MWZLesson sabe interceptar las solicitudes GET- y POST enviados desde un equipo infectado por los navegadores Mozilla Firefox, Google Chrome o Microsoft Internet Explorer, – estas solicitudes el troyano las duplica al servidor administrativo perteneciente a los malintencionados. Además, este programa nocivo puede ejecutar los comandos siguientes:

  • CMD – transmite la directiva recibida al interpretador de comandos CMD;
  • LOADER – descarga e inicia el archivo (dll – usando la utilidad regsrv, vbs – usando la utilidad wscript, exe — se realiza un inicio directo);
  • UPDATE – comando de actualización;
  • rate – establece un intervalo temporal de sesiones de conexión al servidor administrativo;
  • FIND – búsqueda de documentos por máscara;
  • DDOS – iniciar un ataque DDoS usando el método http-flood.

Trojan.MWZLesson realiza el intercambio de datos con el centro de control a través del protocolo HTTP, así mismo, todos los paquetes que el troyano envía al servidor remoto no se cifran, pero el programa nocivo usa en los mismos una opción especial cookie, y si la misma no existe, el servidor de comandos ignora las solicitudes recibidas del troyano.

Al estudiar la arquitectura interna de Trojan.MWZLesson , los analistas de virus de la empresa Doctor Web sacaron la conclusión de conocer muy bien este troyano, porque una parte de su código la encontraban antes como parte de otro programa nocivo. Es BackDoor.Neutrino.50, cuya versión abreviada y simplificada es Trojan.MWZLesson.

BackDoor.Neutrino.50— es un backdoor multifuncional que al difundirse usa los exploits para la vulnerabilidad CVE-2012-0158. Se detectaron los casos de inicio de este programa nocivo desde varios sitios web hackeados por los malintencionados. Al iniciarse, BackDoor.Neutrino.50 comprueba la existencia de máquinas virtuales en su entorno y, en caso de detectar las mismas, el troyano visualiza un mensaje de error "An unknown error occurred. Error - (0x[número aleatorio])", y luego BackDoor.Neutrino.50 borra a sí mismo del sistema.

Además de la función del troyano para los terminales POS, este backdoor tiene la posibilidad de robar la información del clientes de correo Microsoft, аasí como los datos de la cuenta para acceder a los recursos por protocolo FTP usando un conjunto de clientes ftp populares. Además de las directivas características de Trojan.MWZLesson, el troyano BackDoor.Neutrino.50 sabe ejecutar también otros comandos, en particular, es capaz de realizar varios tipos de ataques DDoS, borrar otros programas nocivos que funcionen en el equipo infectado y, así mismo, puede intentar infectar los equipos disponibles en la red local.

Las firmas de estos troyanos fueron añadidas a las bases de virus Dr.Web, por lo tanto, los mismos no suponen peligro para los usuarios de nuestros productos antivirus.

Nos importa su opinión

Por cada comentario se abona 1 punto Dr.Web. Para hacer una pregunta sobre la noticia para la administración del sitio web, indique al principio de su comentario @admin. Si su pregunta es para el autor de algún comentario - indique @ antes de escribir su nombre.


Otros comentarios

Desarrollador ruso de antivirus Dr.Web

Experiencia de desarrollo a partir del año 1992

Dr.Web se usa en más de 200 países del mundo

Entrega de antivirus como servicio a partir del año 2007

Soporte 24 horas

© Doctor Web
2003 — 2019

Doctor Web es un productor ruso de los medios antivirus de protección de la información bajo la marca Dr.Web. Los productos Dr. Web se desarrollan a partir del año 1992.

125040, Rusia, Moscú, c/3 Yamskogo Polya, 2, edif.12А