Как сообщили эксперты антивирусной компании «Доктор Веб», они обнаружили новый троян, инфицирующий платежные терминалы. Вредоносная программа под названием Trojan.PWS.OSMP.21 распространяется под видом динамичной библиотеки и, попадая на компьютер, копирует себя в папку Application Data под именем win.sxs.
Далее вирус располагается в ветви системного реестра Windows, отвечающей за автозагрузку, где сохраняет себя под названием Taskbar.
По данным экспертов, действия трояна отличаются в зависимости от того, находит ли он в системе активный процесс, связанный с платежным функционалом терминала. Если такой процесс не найден, программа занимается распространением своих копий на флэш-накопителях.
В случае обнаружения процесса, вирус пытается завладеть файлом конфигурации config.dat, хранящимся в модуле искомого приложения и файлами журналов. Помимо этого, вредоносная программа собирает данные о жестком диске устройства, после чего передает всю найденную информацию злоумышленникам в зашифрованном виде.
После того, как данные были успешно переданы на сервер киберпреступников, вирус запускает программу самоудаления.
(1).png)