Trojan.Skimer.19 - новый троян, новая угроза банкам


Trojan.Skimer.19 - троянская программа, способная инфицировать банкоматы одного из зарубежных производителей, используемые многочисленными банками на территории России и Украины.

Основной вредоносный функционал этой троянской программы реализован в виде динамической библиотеки, которая хранится в NTFS-потоке другого вредоносного файла, детектируемого как Trojan.Starter.2971. Если в инфицированной системе используется файловая система NTFS, то Trojan.Skimer.19 также хранит свои файлы журналов в потоках, а в эти журналы троян записывает треки банковских карт и ключи, используемые для расшифровки информации.

После заражения операционной системы банкомата, Trojan.Skimer.19 начинает перехватывать нажатия клавиш EPP (Encrypted Pin Pad) в ожидании специальной комбинации, с использованием которой вредонос активируется и сможет выполнить введенную злоумышленником на клавиатуре команду. Trojan.Skimer.19 способен выполнять следующие команды:

  • сохранять лог-файлы на чип карты;
  • расшифровать PIN-коды;
  • удалять троянскую библиотеку и файлы журналов;
  • вылечивать файл-носитель;
  • перезагружать систему (злоумышленники дважды отдают команду инфицированному банкомату, второй раз – не позднее 10 секунд после первого);
  • выводить на дисплей банкомата окно со сводной статистикой (количество выполненных транзакций, уникальных карт, перехваченных ключей и т. д.);
  • обновить файл троянца, считав исполняемый файл с чипа карты.

Skimmer19

Последние версии Trojan.Skimer.19 способны активироваться как с помощью набранного на клавиатуре банкомата кода, так и с использованием специальных карт.

Для расшифровки данных вредонос применяет либо встроенное ПО банкомата, либо собственную реализацию симметричного алгоритма шифрования DES (Data Encryption Standard), используя ранее перехваченные и сохраненные в журнале ключи.