Sie verwenden einen veralteten Browser!

Die Seite kann inkorrekt angezeigt werden.

Defend what you create

Mehr

Schließen

Meine Bibliothek
Meine Bibliothek

+ Zur Bibliothek hinzufügen

Support
Support 24/7

Schreiben Sie uns

Telefon

+7 (495) 789-45-86

Forum
Profil

Zurück zur Übersicht

Trojan.MWZLesson – Trojaner für POS-Systeme

Frankfurt, 15. September 2015

POS-Terminals bleiben aufgrund von z.B Kreditkartenzahlungen nach wie vor eine beliebte Zielscheibe für Virenschreiber weltweit. Die Analysten von Doctor Web haben einen weiteren Trojaner, der POS-Systeme infiziert, untersucht und analysiert.

Der Trojaner Trojan.MWZLesson registriert sich im Zweig des Systemregisters, der für den Autostart von Anwendungen verantwortlich ist. In der Architektur ist ein Modul vorgesehen, welches den Hauptspeicher nach Spuren von Kreditkarten durchsucht. Diesen Code haben Cyber-Kriminelle vom Trojaner Trojan.PWS.Dexter übernommen. Gefundene Daten werden anschließend an den Verwaltungsserver von Cyber-Kriminellen gesendet.

Trojan.MWZLesson kann GET- und POST-Anfragen, die via Mozilla Firefox, Google Chrome oder Microsoft Internet Explorer versendet werden, . Diese Anfragen sendet er erneut an den Verwaltungsserver. Außerdem kann der Schädling folgende Befehle ausführen:

  • CMD: Befehle an den CMD-Interpreter senden;
  • LOADER: Datei herunterladen und starten (dll – durch regsrv, vbs – durch wscript, exe - Datei wird direkt gestartet);
  • UPDATE: Datei aktualisieren;
  • RATE: Verbindung mit dem Verwaltungsserver und Sitzungen definieren;
  • FIND: Datei per Maske suchen;
  • DDOS: DDoS-Angriff durch http-flood starten.

Trojan.MWZLesson tauscht Daten mit dem Verwaltungsserver per HTTP aus. Datenpakete werden dabei nicht verschlüsselt übertragen. Der Schädling verwendet jedoch ein Cookie, welches für die Übertragung von Befehlen vom Verwaltungsserver nötig ist.

Während der Analyse des Trojaners Trojan.MWZLesson haben die Analysten von Doctor Web herausgefunden, dass dieser eine Modifikation von BackDoor.Neutrino.50 darstellt.

BackDoor.Neutrino.50 ist eine multifunktionale Backdoor, die die Sicherheitslücke CVE-2012-0158 ausnutzt. So wurden vor kurzem gehackte Webseiten entdeckt, von denen der Schädling heruntergeladen wurde. Beim Start prüft BackDoor.Neutrino.50, ob virtuelle Rechner vorhanden sind. Wenn diese gefunden wurden, zeigt er die Fehlermeldung "An unknown error occurred. Error - (0x[beliebige Zahl])" an und entfernt sich aus dem System.

Außerdem kann die Backdoor Daten aus einem MS- und FTP-Client klauen. Neben Befehlen von Trojan.MWZLesson kann BackDoor.Neutrino.50 DDoS-Angriffe starten, böswillige Anwendungen löschen und andere Rechner im lokalen Netzwerk infizieren.

Die Signaturen für die oben erwähnten Schädlinge wurden in die Virendatenbank von Doctor Web aufgenommen und stellen somit keine Gefahr für Dr.Web Benutzer dar.

Ihre Meinung ist wichtig für uns!

Für jeden Kommentar bekommen Sie 1 Dr.Web Punkt gutgeschrieben. Um dem Administrator der Webseite eine Frage zu stellen, geben Sie in Ihrem Post zunächst @admin ein. Wenn Ihre Frage an den Autor eines Kommentars adressiert ist, schreiben Sie @ und den Namen des Autors im Anschluß.


Andere Kommentare

Führender russischer Hersteller von Dr.Web Virenschutzsoftware

Entwickelt seit 1992

Dr.Web wird in mehr als 200 Ländern genutzt

Antivirus im SaaS-Modell seit 2007

Technischer Support rund um die Uhr

© Doctor Web
2003 — 2017

Doctor Web ist ein russischer Entwickler von IT-Sicherheitslösungen unter dem Markennamen Dr.Web. Dr.Web Produkte werden seit 1992 entwickelt.

Doctor Web Deutschland GmbH. Platz der Einheit 1. 60327 Frankfurt