Антивирусный вендор “Доктор Веб” объявил сегодня об обнаружении трояна, заражающего терминалы одной из крупнейших российских платёжных систем. Вредоносная программа способна вмешиваться в работу легального процесса, запускаемого в операционной системе терминала (а операционная система эта – Windows), и подменять номер счёта, на который осуществляется платёж, так что деньги достаются злоумышленникам.

Название процесса (maratl.exe) выдаёт название платёжной системы специалистам, а последние четыре буквы в наименовании, присвоенном “Доктор Веб” троянцу, – Trojan.PWS.OSMP, показывает всем остальным, хотя в самой антивирусной компании не слишком хотят акцентировать на этом факте внимание.

Как пояснили “Компьютерре” в пресс-службе компании, троянец был обнаружен не в самих терминалах; то есть говорить о том, что пользоваться этой платёжной системой сейчас опасно, не приходится. С другой стороны, информацией о фактах заражения в “Доктор Веб” не обладают, поскольку доступа к терминалам у специалистов компании, понятное дело, нет. Сама процессинговая компания, естественно, заявляет, что вероятность заражения и общая степень угрозы весьма низки. И тут остаётся только верить на слово.

В любом случае, судя по приводимому “Доктор Веб” описанию, заразить платёжный терминал можно только “вручную”: первым в операционную систему должен проникнуть бэкдор Pushnik, который передаётся через съёмные носители, в частности флэшки. В дальнейшем BackDoor.Pushnik получает с сервера первого уровня конфигурационную информацию, в которой присутствует адрес управляющего сервера второго уровня. С него, в свою очередь, поступает команда загрузить исполняемый файл (троянскую программу Trojan.PWS.OSMP) уже с третьего сервера.

Самая новая из известных модификация этого трояна, кстати, действует уже по другой схеме: крадёт конфигурационный файл, что, по предположению специалистов “Доктор Веб”, может помочь злоумышленникам буквально создать поддельный терминал на любом компьютере, а это позволит направлять деньги на собственный счёт в электронной форме, минуя купюроприёмник.