15 de septiembre de 2015

A lo largo de muchos años los terminales POS siguen siendo un objetivo atractivo para los creadores de virus, por ser aplicados en muchas organizaciones comerciales de todo el mundo para realizar los pagos usando las tarjetas bancarias. Los expertos de la empresa Doctor Web han investigado a otro troyano que puede infectar los terminales de pago y que en realidad resultó ser una modificación de toro programa nocivo que nuestros analistas de virus conocen muy bien.

El troyano POS, añadido a las bases de virus Dr.Web bajo el nombre de Trojan.MWZLesson, una vez iniciado, registra a sí mismo en la rama del registro de sistema responsable de autoinicio de aplicaciones. Su arquitectura tiene previsto un módulo que escanea la memoria operativa del dispositivo infectado en busca de tracks de tarjetas bancarias en la misma. Este código los malintencionados lo prestaron de otro programa nocivo, destinado para infectar los terminales POS y conocido bajo el nombre de Trojan.PWS.Dexter. El troyano transmite los tracks detectados y otros datos interceptados al servidor administrativo.

Trojan.MWZLesson sabe interceptar las solicitudes GET- y POST enviados desde un equipo infectado por los navegadores Mozilla Firefox, Google Chrome o Microsoft Internet Explorer, – estas solicitudes el troyano las duplica al servidor administrativo perteneciente a los malintencionados. Además, este programa nocivo puede ejecutar los comandos siguientes:

• CMD – transmite la directiva recibida al interpretador de comandos CMD;
• LOADER – descarga e inicia el archivo (dll – usando la utilidad regsrv, vbs – usando la utilidad wscript, exe — se realiza un inicio directo);
• UPDATE – comando de actualización;
• rate – establece un intervalo temporal de sesiones de conexión al servidor administrativo;
• FIND – búsqueda de documentos por máscara;
• DDOS – iniciar un ataque DDoS usando el método http-flood.

Trojan.MWZLesson realiza el intercambio de datos con el centro de control a través del protocolo HTTP, así mismo, todos los paquetes que el troyano envía al servidor remoto no se cifran, pero el programa nocivo usa en los mismos una opción especial cookie, y si la misma no existe, el servidor de comandos ignora las solicitudes recibidas del troyano.

Al estudiar la arquitectura interna de Trojan.MWZLesson , los analistas de virus de la empresa Doctor Web sacaron la conclusión de conocer muy bien este troyano, porque una parte de su código la encontraban antes como parte de otro programa nocivo. Es BackDoor.Neutrino.50, cuya versión abreviada y simplificada es Trojan.MWZLesson.

BackDoor.Neutrino.50— es un backdoor multifuncional que al difundirse usa los exploits para la vulnerabilidad CVE-2012-0158. Se detectaron los casos de inicio de este programa nocivo desde varios sitios web hackeados por los malintencionados. Al iniciarse, BackDoor.Neutrino.50 comprueba la existencia de máquinas virtuales en su entorno y, en caso de detectar las mismas, el troyano visualiza un mensaje de error "An unknown error occurred. Error - (0x[número aleatorio])", y luego BackDoor.Neutrino.50 borra a sí mismo del sistema.

Además de la función del troyano para los terminales POS, este backdoor tiene la posibilidad de robar la información del clientes de correo Microsoft, аasí como los datos de la cuenta para acceder a los recursos por protocolo FTP usando un conjunto de clientes ftp populares. Además de las directivas características de Trojan.MWZLesson, el troyano BackDoor.Neutrino.50 sabe ejecutar también otros comandos, en particular, es capaz de realizar varios tipos de ataques DDoS, borrar otros programas nocivos que funcionen en el equipo infectado y, así mismo, puede intentar infectar los equipos disponibles en la red local.

Las firmas de estos troyanos fueron añadidas a las bases de virus Dr.Web, por lo tanto, los mismos no suponen peligro para los usuarios de nuestros productos antivirus.