Новая версия Skimer защищена популярным протектором Themida, который, среди прочего, затрудняет использование отладчика, мешает делать дамп памяти, шифрует ресурсы и не позволяет мониторить файл и реестры. По всей видимости, это сделано для того, чтобы затруднить анализ вредоносной программы.
После запуска хакерская программа узнаёт тип файловой системы банкомата. В том случае, если использована FAT32, она копирует в папку System32 динамическую библиотеку netmgr.dll. Если же применяется NTFS, то Skimer сохраняет netmgr.dll в альтернативном потоке данных файла SpiService.exe — компоненте банкоматов Diebold, который реализует XFS, стандартную клиент-серверную архитектуру для финансовых приложений под Windows.
Установив библиотеку, вредоносная программа добавляет в SpiService.exe вызов, загружающий netmgr.dll, и перезапускает систему. В результате троян получает полный доступ к XFS и контроль над всеми возможностями устройства.
Вредоносной программой можно управлять при помощи специальные карты c магнитной полосой, на второй дорожке которой записаны инструкции для Skimer. Другой тип карт позволяет злоумышленникам активировать одну из 21 известных трояну команд, пользуясь цифровой клавиатурой банкомата.
Отметим, программа появилась в 2009 году, но продолжает активно развиваться. Обычно Skimer собирает данные банковских карт, вставленных в банкомат. По команде злоумышленника он может распечатать накопленную информацию или просто выдать ему наличные. Кроме того, в программе предусмотрены команды для отладки, обновления и удаления трояна.
.jpg)
.png)