Перейти к содержимому

Фотография

Платежные терминалы QIWI (КИВИ) заражены вредоносной программой Trojan.PWS.OSMP


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 2

#1 Элли Камилали

Элли Камилали

    Забанен

  • Заблокированные
  • PipPipPipPipPip
  • 3 167 сообщений
634
Очень хороший
  • Пол:Не определился

Отправлено 16 Март 2011 - 13:18

Платежные терминалы QIWI (КИВИ) заражены вредоносной программой Trojan.PWS.OSMP

Обнаружен троянец Trojan.PWS.OSMP, заражающий терминалы одной из крупных российских платежных систем. Об этом сообщила пресс-служба российского разработчика средств информационной безопасности "Доктор Веб".

Эта вредоносная программа вмешивается в работу легального процесса maratl.exe, запущенного в операционной системе терминала, и подменяет номер счета, на который осуществляет платеж пользователь. Таким образом, деньги попадают напрямую к злоумышленникам.

Первоначально в операционную систему платежного терминала /ОС Windows/ попадает BackDoor.Pushnik, представляющий собой вредоносную программу в виде исполняемого файла, написанного злоумышленниками на языке Delphi. Передается он через съемные носители, в частности USB Flash Drive. Как только такая "флешка" подключается к терминалу, происходит автозапуск "бэкдора". В дальнейшем BackDoor.Pushnik получает с сервера первого уровня конфигурационную информацию, в которой присутствует адрес управляющего сервера второго уровня. С него, в свою очередь, исходит "задача" загрузить исполняемый файл /троянскую программу Trojan.PWS.OSMP/ с третьего сервера.

По словам экспертов, опрошенных ПРАЙМ-ТАСС, троянская программа была обнаружена в платежных терминалах QIWI (КИВИ).

В компании QIWI (КИВИ) подтвердили данную информацию. Вот как прокомментировал ситуацию с заражением платежных терминалов президент группы QIWI (КИВИ) Андрей Романенко: "Мы знаем о появлении данного вируса, но при анализе было выявлено, что его активность крайне низка. Никаких краж и несанкционированных действий на данный момент нами не обнаружено. Мы обладаем эффективной системой мониторинга, которая при возникновении каких-либо даже самых незначительных угроз оперативно проинформирует нас о них. Наличие данного вируса мы мониторим с 20 февраля и в эту же дату предоставили агентам инструкции и рекомендации".

Согласно сообщению компании "Доктор Веб", Trojan.PWS.OSMP – одна из первых вредоносных программ, представляющих опасность для клиентов платежных терминалов. Попадая в операционную систему, троянец проверяет программное обеспечение, установленное на терминале и осуществляет поиск процесса maratl.exe, который является вполне легальной программой. Далее Trojan.PWS.OSMP встраивается в maratl.exe, меняя его память. В сущности, троянская программа позволяет злоумышленникам исправить любой номер счета, на который пользователи отправляют деньги. Средства, таким образом, попадают напрямую вирусописателям.

Последняя известная модификация Trojan.PWS.OSMP, появившаяся в конце февраля 2011 г, действует уже по другой схеме. Она крадет конфигурационный файл, что, предположительно, может помочь злоумышленникам создать поддельный терминал на обыкновенном компьютере и направлять деньги на собственный счет в электронной форме, минуя купюроприемник.

В компании "Доктор Веб" уверены, что Trojan.PWS.OSMP представляет наибольшую опасность для терминалов, подключенных к Интернету и использующих maratl.exe.

ПРАЙМ-ТАСС располагает комментарием Сергея Комарова, руководителя отдела антивирусных разработок и исследований "Доктор Веб": "На сегодняшний день у нас в антивирусных базах более 10 модификаций троянцев семейства OSMP. Кроме этого, недавно появилась бот-сеть, специально организованная для атак на платежные терминалы. Мы наблюдаем ее постоянное усовершенствование, поиски все новых способов похищения денежных средств из платежных систем. Определить количество зараженных терминалов мы не можем. Эту информацию может дать только компания, которая ими владеет".

В компании QIWI (КИВИ) число зараженных платежных терминалов не уточнили.

Под брендом QIWI (КИВИ) работает более 100 тыс. терминалов, расположенных на всей территории России.

ПРАЙМ-ТАСС
  • 0

На правах рекламы

#2 Элли Камилали

Элли Камилали

    Забанен

  • Заблокированные
  • PipPipPipPipPip
  • 3 167 сообщений
634
Очень хороший
  • Пол:Не определился

Отправлено 18 Март 2011 - 13:46

Официальное сообщение QIWI (КИВИ)

В связи с появлением в прессе 16.03.2011 года официального сообщения компании «Доктор Web» о вредоносном вирусе, который заражает платежные терминалы, и комментариев руководителей данной компании по этому вопросу, платежный сервис QIWI (КИВИ) считает необходимым сообщить, что предоставляемая информация существенно искажена.

Информируем наших партнеров, коллег, представителей СМИ и пользователей о реальном положении дел:

  • Появление вируса, который специалистами компании «Доктор Web» был назван «вирус-троян Trojan.PWS.OSMP», было зафиксировано нашей специализированной системой мониторинга вредоносных программ 20 февраля 2011 года.
  • По факту обнаружения мы оперативно отреагировали и произвели необходимые действия по устранению возможных угроз со стороны этого вредоносного ПО.
  • В результате, ни один наш клиент не пострадал, никаких краж и несанкционированных действий не было зафиксировано.
  • Ежедневно через платежный сервис QIWI (КИВИ) проходит более 10 млн. транзакций, и мы прекрасно понимаем интерес злоумышленников, именно поэтому уделяем максимум внимания безопасности и надежности нашего сервиса.
  • QIWI (КИВИ) использует многоуровневую систему защиты, которая успешно противостоит атакам, в том числе систему Anti-Froud, которая сумеет распознать любую атаку и заблокировать поступление платежей с «фальшивого» терминала, созданного путем хищения конфигурационного файла.
  • Платежный сервис QIWI (КИВИ) продолжает свою работу в стандартном режиме, обеспечивая пользователей безопасным и надежным сервисом.

Андрей Романенко,
Президент QIWI Ltd.
  • 0

#3 Элли Камилали

Элли Камилали

    Забанен

  • Заблокированные
  • PipPipPipPipPip
  • 3 167 сообщений
634
Очень хороший
  • Пол:Не определился

Отправлено 01 Апрель 2011 - 13:14

Найден новый штамм вируса Trojan.PWS.OSMP

1 апреля 2011 года зафиксировано появление новой модификации вирусной программы Trojan.PWS.OSMP.GlamHunter.

Начиная с 20 февраля 2011 года, специалисты по IT-безопасности платежного сервиса QIWI отслеживают активность вирусной программы Trojan.PWS.OSMP.

1 апреля было зафиксировано появление нового штамма – GlamHunter, который появился в результате неудачной попытки разработчиков антивирусных программ создать антивирус для Trojan.PWS.OSMP.

Trojan.PWS.OSMP.GlamHunter отслеживает цитируемость и удержание поисковыми системами в топах новостей информации о Trojan.PWS.OSMP, атакуя платежные аккаунты пользователей, которые упоминали о нем. Результатом таких атак является перевод всех хранимых средств в пользу OSMP (QIWI). Избавиться от него невозможно, единственный эффективный способ защиты - не использовать в публикациях упоминания о Trojan.PWS.OSMP.

Обращаем ваше внимание на новый мутировавший вирус, будьте бдительны!

Холдинг QIWI Ltd.
  • 0




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 скрытых пользователей