Defend what you create

Mehr

Schließen

Meine Bibliothek
Meine Bibliothek

+ Zur Bibliothek hinzufügen

Support

Schreiben Sie uns

Ihre Anfragen

Rufen Sie uns an

+7 (495) 789-45-86

Profil

Zurück zur Übersicht

Trojan.Skimer.19 bedroht Banken

4. März 2014

Böswillige Programme, die Geldautomaten infizieren, sind eher selten. Folglich ist das Interesse der Sicherheitsanalysten an Trojan.Skimer.19, welcher Geldautomaten infiziert, sehr hoch: nach unseren Informationen attackiert dieser Trojaner auch heute noch Geldautomaten!

Der Trojaner ist hauptsächlich als dynamische Bibliothek realisiert, welche im NTFS-Strom eines anderen Schädlings (Trojan.Starter.2971) versteckt ist. Verwendet ein infizierter Geldautomat das Dateisystem NTFS, so speichert Trojan.Skimer.19 seine Protokolle in NTFS-Strömen und zeichnet darin Daten von Bankkarten, die zur Entschlüsselung notwendig sind, auf. Hat der Schädling sich im Geldautomaten eingenistet, fängt er EPP-Aktivitäten (Encrypted Pin Pad) ab. So kann er sich durch spezielle Tastenkombination aktivieren lassen und Befehle der Übeltäter ausführen. Die Befehle können wie folgt aussehen:

  • Gesammelte Protokolle auf eingesteckte Chipkarte kopieren, PIN-Codes entschlüsseln,
  • Trojaner-Bibliothek und Protokolle entfernen, Datenträger „desinfizieren“,
  • Statistiken (Transaktionen, Karten, entwendete Schlüssel) anzeigen,

    map

  • Protokolldateien löschen,
  • System neu starten bzw,
  • Trojaner aktualisieren.

Die neuesten Versionen von Trojan.Skimer.19 können nicht nur mit Hilfe eingetippter Codes, sondern auch durch speziell angefertigte Karten aktiviert werden.

Zur Datenentschlüsselung verwendet Trojan.Skimer.19 die Geldautomatensoftware oder die DES-Methode (Data Encryption Standard), indem er früher entwendete Schlüssel einbezieht.

Alle Versionen des Trojaners werden von Dr.Web erfolgreich aufgespürt und gelöscht.

Ihre Meinung ist wichtig für uns!

Für jeden Kommentar bekommen Sie 1 Dr.Web Punkt gutgeschrieben. Um dem Administrator der Webseite eine Frage zu stellen, geben Sie in Ihrem Post zunächst @admin ein. Wenn Ihre Frage an den Autor eines Kommentars adressiert ist, schreiben Sie @ und den Namen des Autors im Anschluß.


Andere Kommentare

Führender russischer Hersteller von Virenschutzsoftware

Entwickelt seit 1992

Dr.Web wird in mehr als 200 Ländern genutzt

Antivirus im SaaS-Modell seit 2007

Technischer Support rund um die Uhr

© Doctor Web
2003 — 2019

Doctor Web ist ein russischer Entwickler von IT-Sicherheitslösungen unter dem Markennamen Dr.Web. Dr.Web Produkte werden seit 1992 entwickelt.

Doctor Web Deutschland GmbH. Platz der Einheit 1. 60327 Frankfurt