Платежные терминалы Qiwi заражены вредоносной программой Trojan.PWS.OSMP

Обнаружен вирус Trojan.PWS.OSMP, заражающий терминалы одной из крупных российских платежных систем, передает Прайм-ТАСС со ссылкой на пресс-службу российского разработчика средств информационной безопасности «Доктор Веб». Эта вредоносная программа вмешивается в работу легального процесса maratl.exe, запущенного в операционной системе терминала, и подменяет номер счета, на который осуществляет платеж пользователь. Таким образом, деньги попадают прямо к злоумышленникам.

Первоначально в операционную систему платежного терминала (ОС Windows) попадает BackDoor.Pushnik, представляющий собой вредоносную программу в виде исполняемого файла, написанного злоумышленниками на языке Delphi. Передается он через съемные носители, в частности USB Flash Drive. Как только такая «флешка» подключается к терминалу, происходит автозапуск «бэкдора». В дальнейшем BackDoor.Pushnik получает с сервера первого уровня конфигурационную информацию, в которой присутствует адрес управляющего сервера второго уровня. С него, в свою очередь, исходит «задача» загрузить исполняемый файл (троянскую программу Trojan.PWS.OSMP) с третьего сервера.

По словам экспертов, опрошенных агенством, троянская программа была обнаружена в платежных терминалах Qiwi. В компании Qiwi подтвердили данную информацию. Вот как прокомментировал ситуацию с заражением платежных терминалов президент группы Qiwi Андрей Романенко: «Мы знаем о появлении данного вируса, но при анализе было выявлено, что его активность крайне низка. Никаких краж и несанкционированных действий на данный момент нами не обнаружено. Мы обладаем эффективной системой мониторинга, которая при возникновении каких-либо даже самых незначительных угроз оперативно проинформирует нас о них. Наличие данного вируса мы мониторим с 20 февраля и в эту же дату предоставили агентам инструкции и рекомендации».

Согласно сообщению компании «Доктор Веб», Trojan.PWS.OSMP — одна из первых вредоносных программ, представляющих опасность для клиентов платежных терминалов. Попадая в операционную систему, троянец проверяет программное обеспечение, установленное на терминале, и осуществляет поиск процесса maratl.exe, который является вполне легальной программой. Далее Trojan.PWS.OSMP встраивается в maratl.exe, меняя его память. В сущности, троянская программа позволяет злоумышленникам исправить любой номер счета, на который пользователи отправляют деньги. Средства, таким образом, попадают напрямую вирусописателям.

Последняя известная модификация Trojan.PWS.OSMP, появившаяся в конце февраля 2011 года, действует уже по другой схеме. Она крадет конфигурационный файл, что, предположительно, может помочь злоумышленникам создать поддельный терминал на обыкновенном компьютере и направлять деньги на собственный счет в электронной форме, минуя купюроприемник.

В компании «Доктор Веб» уверены, что Trojan.PWS.OSMP представляет наибольшую опасность для терминалов, подключенных к Интернету и использующих maratl.exe. «На сегодняшний день у нас в антивирусных базах более 10 модификаций троянцев семейства OSMP, — комментирует Сергей Комаров, руководитель отдела антивирусных разработок и исследований «Доктор Веб». — Кроме этого, недавно появилась бот-сеть, специально организованная для атак на платежные терминалы. Мы наблюдаем ее постоянное усовершенствование, поиски все новых способов похищения денежных средств из платежных систем. Определить количество зараженных терминалов мы не можем. Эту информацию может дать только компания, которая ими владеет».

В компании Qiwi число зараженных платежных терминалов не уточнили. Под брендом Qiwi работает более 100 тыс. терминалов на всей территории России.