POS-терминалы уже давно привлекают вирусописателей, поскольку устройства применяются многочисленными торговыми организациями по всему миру для реализации платежей с использованием банковских карт. Специалисты компании «Доктор Веб» исследовали очередного троянца Trojan.MWZLesson, умеющего заражать платежные терминалы, который на поверку оказался модификацией другой вредоносной программы — BackDoor.Neutrino.50.
Trojan.MWZLesson после своего запуска регистрирует себя в ветви системного реестра, отвечающей за автозагрузку приложений. В его архитектуре предусмотрен модуль, сканирующий оперативную память инфицированного устройства на наличие в ней треков банковских карт. Этот код злоумышленники позаимствовали у Trojan.PWS.Dexter. Обнаруженные треки и другие перехваченные данные троянец передает на управляющий сервер. Trojan.MWZLesson умеет перехватывать GET- и POST-запросы, отправляемые с зараженной машины браузерами Mozilla Firefox, Google Chrome или Microsoft Internet Explorer,. Эти запросы троянец дублирует на принадлежащий злоумышленникам управляющий сервер. Кроме того, данная вредоносная программа может выполнять команды CMD (передает поступившую директиву командному интерпретатору CMD), LOADER (скачивает и запускает файл), UPDATE (команда обновления), rate (задает временной интервал сеансов связи с управляющим сервером), FIND (поиск документов по маске) и DDOS (начать DDoS-атаку методом http-flood).
Обмен данными с управляющим центром Trojan.MWZLesson осуществляет по протоколу HTTP, при этом пакеты, которые троянец отсылает на удаленный сервер, не шифруются, однако вредоносная программа использует в них параметр cookie, при отсутствии которого командный сервер игнорирует поступающие от троянца запросы.
В свою очередь BackDoor.Neutrino.50, урезанной и сокращенной версией которого является Trojan.MWZLesson — это многофункциональный бэкдор, использующий при своем распространении эксплойты для уязвимости CVE-2012-0158. Зафиксированы случаи загрузки этой вредоносной программы с различных взломанных злоумышленниками сайтов. При запуске BackDoor.Neutrino.50 проверяет наличие в своем окружении виртуальных машин, в случае обнаружения таковых троянец выводит сообщение об ошибке «An unknown error occurred. Error — (0x[случайное число])», после чего удаляет себя из системы. Помимо функций троянца для POS-терминалов, данный бэкдор обладает возможностью красть информацию из почтового клиента Microsoft, а также учетные данные для доступа к ресурсам по протоколу FTP с использованием ряда популярных ftp-клиентов.