Sikkerhedseksperter identificeret et nyt angreb bølge med ATMii ATM virus, der har spredt sig over hele verden. Malwaren har gennemgået en grundig analyse af eksperterne og hurtigt fordeles af kriminelle på verdensplan.
ATMii ATM Virus Infektion Route
De sikkerhedseksperter var i stand til at foretage en fuldstændig sikkerhed analyse af ATMii ATM-virus. Det består af to komponenter:
- Injector Module - En eksekverbar fil kaldet exe.exe der er ansvarlig for at starte den vigtigste virus motor.
- virus Engine - Dette er den vigtigste del af ATMii ATM virus, som anvendes til at nå infektionen og udføre den programmerede angreb sekvens.
Den virus infektion starter med udførelsen af injektoren modul ved ofrene. I øjeblikket er til rådighed om fordelingen taktik men der er flere mulige indtrængen veje ingen detaljerede oplysninger.
En af dem er afhængig af en infektion via det interne netværk. Dette afhænger af kompromitterende sårbarheder i andre værter findes på de interne værter. Populære taktik er brugt som e-mail-spam-meddelelser, der bruger social engineering taktik til at gøre målene inficere sig selv. En anden mulighed er at bruge web-annoncer, Trojanske heste eller ondsindede browser-plugins (også kendt som flykaprere eller omdirigeringer) at have ATMii ATM-virus som den vigtigste nyttelast. Den anden måde at inficere ATM maskiner med ATMii virus er at udføre en fysisk angreb på dem.
Injektoren selv er skrevet i Visual C programmeringssprog, som betyder, at det er kompatibelt med alle moderne Microsoft Windows versioner. Når det er lanceret det begynder at behandle en sekvens af kommandoer som defineret af hacker anvisninger. Komponenten understøtter flere parametre som opdaget af forskere i sikkerhed:
- belastning - Det bruges til at indsprøjte en ondsindet bibliotek (dll.dll) ind i atmapp.exe behandle. Kommandoen instruerer injektoren for at søge efter den givne proces og kalder den vigtigste.
- cmd - Denne kommando opretter og / eller opdaterer konfigurationen fil kaldet c.ini. Det bruges til at konfigurere den injicerede DLL. De indsamlede prøver har vist sig at opdatere sig selv hver gang den eksekverbare fil køres med dette argument.
- disp - Det er en forkortelse for “dispensere” en given mængde valuta ved hæveautomater.
- den - pålægger den ATMii ATM-virus til at slette konfigurationsfilen.
ATM-virus er specifikt rettet mod Microsoft Windows-computere som en meget stor del af maskinerne stadig kører på versioner så tidligt som XP.
ATMii ATM Virus Capabilities
Injektionen modul indlæser et dynamisk bibliotek og erstatter en vigtig funtion med en indpakning, der indeholder en separat ondsindet tilføjelse. Den primære funktion af ATMii ATM-virus synes at være den infektion og fejlkonfiguration af en speciel proces, der styrer maskinerne - den proprietære atmapp.exe fil. Arkitekturen i hacker-kontrollerede sekvens er at følge tjenestebaseret arkitektur og omkonfigurere ATM maskiner ifølge de kriminelle.
Når injektoren held har kaldt den vigtigste virus fil det udtrækker informationen hardware. Dette gøres udstedelse af en anden delmængde af kommandoer, den første hedder “Scan” som automatisk kaldes én gang DLL biblioteket injiceres ind i målet processen.
Næste, den “info” kommando bruges til at trække oplysninger om de tilgængelige kassetter og deres indhold. Når hackere kender det nøjagtige beløb, der i øjeblikket holdes i de maskiner, de kan bruge “disp” (forkortelse for “dispensere”) til fysisk indsamle penge. To parameter indstillinger er tilgængelige, som kan finindstilles for en nøjagtig konfiguration - betalingsmiddel og beløb. Valutatypen skal indeholde mindst en af de tre bogstaver landekoder implementeret i pengeautomater. Den “den” kommando kommando kan bruges af hackere til at slette den c.ini konfigurationsfil, som kan anvendes til at skjule sekvensen fra sikkerhed administratorer eller analytikere.
Konsekvenser af en ATMii ATM Virus Infektion
Som et resultat af den globale angreb bølge af ATMii ATM virus er i stand til at inficere maskiner på verdensplan. De it-kriminelle kan bruge malware til at kompromittere maskiner i deres lokalområde og hurtigt trække store mængder af penge uden egentlig fysisk indgriben. Dette kan vise sig fatalt, når maskinerne har store mængder af penge og er ikke behørigt sikret med bankens personale.
Afhængig af sikkerhedspolitikker og udført regelmæssige scanninger af ATMii ATM virus kan ikke umiddelbart fundet og fjernet, som kan føre til en masse begået forbrydelser af de kriminelle. I øjeblikket er til rådighed om deres identitet eller indledende spredt placering ingen oplysninger. Vi anbefaler, at alle computere ansætte en avanceret og samtidig let at bruge anti-spyware løsning. Den er velegnet til både erhvervs- og brugere og er i stand til effektivt at fjerne spor af malware i kun et par klik med musen. Det garanterer også beskyttelse mod alle former for trusler.
Spy Hunter scanner kun detektere trussel. Hvis du ønsker, at truslen skal fjernes automatisk, du nødt til at købe den fulde version af anti-malware værktøj.Læs mere om SpyHunter Anti-Malware værktøj / Sådan fjernes SpyHunter
Martin Beltov
Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.
Følg mig: