Компания «Доктор Веб» обнаружила в терминалах одной из российских платежных систем вредоносную программу Trojan.PWS.OSMP, подменяющую номер счета, на который осуществляется платеж.
Вредоносная программа BackDoor.Pushnik вмешивается в работу легального процесса maratl.exe, который запущен в операционной системе терминала. В результате злоумышленники могут исправить любой номер счета, на который пользователи отправляют деньги.
Учитывая название вируса, речь, вероятно, идет о заражении терминалов QIWI, которые принадлежат «Объединенной системе моментальных платежей» (ОСМП).
BackDoor.Pushnik, как сообщает сайт «Доктор Веб», написана в виде исполняемого файла на языке Delphi. Она передается в терминалы через съемные носители, в частности USB Flash Drive. Когда «флешка» подключается к терминалу, происходит автозапуск бэкдора. Он получает с сервера первого уровня информацию об адресе управляющего сервера второго уровня. С него, в свою очередь, исходит «задача» загрузить троянскую программу Trojan.PWS.OSMP с третьего сервера.
Последняя модификация Trojan.PWS.OSMP появилась в конце февраля 2011 года. Она крадет конфигурационный файл, что, предположительно, может помочь злоумышленникам создать поддельный терминал на обыкновенном компьютере и направлять деньги на собственный счет в электронной форме, минуя купюроприемник.
«Специалисты «Доктор Веб» уже передали всю известную им информацию компании — владельцу терминалов, которые находятся под угрозой. Надеемся, что это поможет решить проблему в кратчайшие сроки и уберечь пользователей от потери денежных средств», -- сказано в сообщении компании.
По оценкам экспертов, вероятность заражения терминалов программой Trojan.PWS.OSMP невысока из-за специфики обслуживания. Активность вируса на данный момент оценивается как низкая.