Meine Bibliothek
Meine Bibliothek

+ Zur Bibliothek hinzufügen

Support

Ihre Anfragen

Rufen Sie uns an

+7 (495) 789-45-86

Profil

Zurück zu News

Trojan.MWZLesson – Trojaner für POS-Systeme

Frankfurt, 15. September 2015

POS-Terminals bleiben aufgrund von z.B Kreditkartenzahlungen nach wie vor eine beliebte Zielscheibe für Virenschreiber weltweit. Die Analysten von Doctor Web haben einen weiteren Trojaner, der POS-Systeme infiziert, untersucht und analysiert.

Der Trojaner Trojan.MWZLesson registriert sich im Zweig des Systemregisters, der für den Autostart von Anwendungen verantwortlich ist. In der Architektur ist ein Modul vorgesehen, welches den Hauptspeicher nach Spuren von Kreditkarten durchsucht. Diesen Code haben Cyber-Kriminelle vom Trojaner Trojan.PWS.Dexter übernommen. Gefundene Daten werden anschließend an den Verwaltungsserver von Cyber-Kriminellen gesendet.

Trojan.MWZLesson kann GET- und POST-Anfragen, die via Mozilla Firefox, Google Chrome oder Microsoft Internet Explorer versendet werden, . Diese Anfragen sendet er erneut an den Verwaltungsserver. Außerdem kann der Schädling folgende Befehle ausführen:

  • CMD: Befehle an den CMD-Interpreter senden;
  • LOADER: Datei herunterladen und starten (dll – durch regsrv, vbs – durch wscript, exe - Datei wird direkt gestartet);
  • UPDATE: Datei aktualisieren;
  • RATE: Verbindung mit dem Verwaltungsserver und Sitzungen definieren;
  • FIND: Datei per Maske suchen;
  • DDOS: DDoS-Angriff durch http-flood starten.

Trojan.MWZLesson tauscht Daten mit dem Verwaltungsserver per HTTP aus. Datenpakete werden dabei nicht verschlüsselt übertragen. Der Schädling verwendet jedoch ein Cookie, welches für die Übertragung von Befehlen vom Verwaltungsserver nötig ist.

Während der Analyse des Trojaners Trojan.MWZLesson haben die Analysten von Doctor Web herausgefunden, dass dieser eine Modifikation von BackDoor.Neutrino.50 darstellt.

BackDoor.Neutrino.50 ist eine multifunktionale Backdoor, die die Sicherheitslücke CVE-2012-0158 ausnutzt. So wurden vor kurzem gehackte Webseiten entdeckt, von denen der Schädling heruntergeladen wurde. Beim Start prüft BackDoor.Neutrino.50, ob virtuelle Rechner vorhanden sind. Wenn diese gefunden wurden, zeigt er die Fehlermeldung "An unknown error occurred. Error - (0x[beliebige Zahl])" an und entfernt sich aus dem System.

Außerdem kann die Backdoor Daten aus einem MS- und FTP-Client klauen. Neben Befehlen von Trojan.MWZLesson kann BackDoor.Neutrino.50 DDoS-Angriffe starten, böswillige Anwendungen löschen und andere Rechner im lokalen Netzwerk infizieren.

Die Signaturen für die oben erwähnten Schädlinge wurden in die Virendatenbank von Doctor Web aufgenommen und stellen somit keine Gefahr für Dr.Web Benutzer dar.

Ihre Meinung ist uns wichtig!

Um dem Administrator der Webseite eine Frage zu stellen, geben Sie in Ihrem Post zunächst @admin ein. Wenn Ihre Frage an den Autor eines Kommentars adressiert ist, schreiben Sie @ und den Namen des Autors im Anschluß.


Andere Kommentare