Sicherheitsexperten identifizierten eine neue Angriffswelle mit dem ATMii ATM-Virus, das weltweit verbreitet hat. Die Malware hat eine gründliche Analyse durch die Experten unterzogen und wird schnell von Kriminellen auf globaler Ebene verteilt.
ATMii ATM-Virus-Infektion Weg
Die Sicherheitsexperten konnten eine vollständige Sicherheitsanalyse des ATMii ATM-Virus leiten. Es besteht aus zwei Komponenten:
- Injektor-Modul - Eine ausführbare Datei mit dem Namen exe.exe was ist verantwortlich für den Haupt Virus Motor starten.
- Virus Engine - Dies ist der Hauptteil des ATMii ATM-Virus, das verwendet wird, um die Infektion zu erreichen, und die programmierten Sequenz Angriff auszuführen.
Die Virus-Infektion beginnt mit der Ausführung des Injektors Modul von den Opfern. Im Moment ist keine detaillierten Informationen über die Verteilung Taktik aber es mehrere mögliche Eindringen Wege sind.
Einer von ihnen stützt sich auf eine Infektion über das interne Netzwerk. Dies stützt sich auf Kompromisse Anfälligkeiten von anderen Hosts auf dem internen Hosts gefunden. Beliebte Taktik verwendet werden, wie zum Beispiel E-Mail-Spam-Nachrichten, die Social-Engineering-Taktiken anwenden, die Ziele zu infizieren sich selbst zu machen. Eine weitere Option ist Web-Anzeigen zu verwenden,, Trojaner oder bösartige Browser-Plugins (auch als Entführer oder Umleitungen bekannt) dass haben die ATMii ATM-Virus als Hauptnutzlast. Der andere Weg, um die ATM-Maschinen mit dem ATMii Virus zu infizieren ist ein physischer Angriff auf sie auszuführen.
Der Injektor selbst ist in der Visual C-Programmiersprache geschrieben, was bedeutet, dass es mit allen modernen Microsoft Windows-Versionen kompatibel ist. Wenn es gestartet wird, startet er eine Folge von Befehlen zu verarbeiten, wie durch den Hacker Anweisungen definiert. Die Komponente unterstützt mehrere Parameter, wie durch die Sicherheitsforscher entdeckt:
- Belastung - Es wird verwendet, um eine bösartige Bibliothek zu injizieren (Dll.dll) in der atmapp.exe verarbeiten. Der Befehl weist den Injektor für den gegebenen Prozess zur Suche und rief die Haupt.
- cmd - Dieser Befehl erstellt und / oder aktualisiert die Konfigurationsdatei mit dem Namen c.ini. Es wird verwendet, um die injizierten DLL zu konfigurieren. Die gesammelten Proben wurden gefunden, sich jedes Mal, wenn die ausführbare Datei mit diesem Argument ausgeführt aktualisieren.
- disp - Dies ist die Abkürzung für “dosieren” eine bestimmte Menge Währung von den Geldautomaten.
- Die - Weist den ATMii ATM-Virus die Konfigurationsdatei löschen.
Das Virus ATM ist speziell auf Microsoft Windows-Computer als einen sehr großen Teil der Maschinen gezielt noch so früh wie XP auf Versionen laufen.
ATMii ATM Virus-Funktionen
Das Injektionsmodul lädt eine dynamische Bibliothek und ersetzt eine wichtige funtion mit einem Wrapper, der ein separates böswilligen zusätzlich enthält. Die primäre Funktion des ATMii ATM-Virus scheint die Infektion und Fehlkonfiguration eines speziellen Verfahrens zu sein, dass die Maschinen verwaltet - die proprietären atmapp.exe Datei. Die Architektur der Hackers gesteuerten Sequenz ist der Service-basierte Architektur zu folgen und die ATM-Maschinen rekonfigurieren die Kriminellen gemäß.
Sobald der Injektor extrahiert er erfolgreich die Haupt Virus-Datei aufgerufen hat die Hardware-Informationen. Dies wird getan, um eine zweite Teilmenge von Befehlen, die Ausgabe, die erste aufgerufen “Scan” das wird automatisch aufgerufen, sobald die DLL-Bibliothek in den Zielprozess eingespritzt wird,.
Nächster, die “Info” Befehl wird verwendet, um Informationen zu den verfügbaren Kassetten zu extrahieren und dessen Inhalt. Sobald der Hacker die genaue Menge des Geldes kennt, die zur Zeit in den Maschinen gehalten werden, können sie die Verwendung “disp” (kurz für “dosieren”) physisch das Geld zu sammeln. Zwei Parameter Optionen stehen zur Verfügung, die kann gut für eine exakte Konfiguration abgestimmt werden - Währung und Menge. Der Währungstyp muss mindestens eine der drei Buchstaben bestehenden Ländercodes enthalten in den Geldautomaten implementiert. Die “die” Befehl Befehl kann von den Hackern verwendet werden, die löschen c.ini Konfigurationsdatei, die verwendet werden kann, die Sequenz von Sicherheitsadministratoren oder Analysten zu verstecken.
Folgen einer ATMii ATM-Virus-Infektion
Als Folge der globalen Angriffswelle ist der ATMii ATM Virus in der Lage Maschinen weltweit zu infizieren. Die Computer-Kriminelle können die Malware verwenden Maschinen in ihrer Umgebung zu gefährden und zurückziehen schnell große Mengen an Geld, ohne tatsächliche körperliche Intervention. Dies kann fatale Folgen haben, wenn die Maschinen große Mengen an Geld halten und sind nicht richtig von der Bank Mitarbeiter gesichert.
Je nach den Sicherheitsrichtlinien und durchgeführt regelmäßigen Scans des ATMii ATM-Virus möglicherweise nicht sofort erkannt und entfernt werden, kann von den Kriminellen zu vielen begangenen Verbrechen führen. Im Moment sind keine Angaben über ihre Identität oder anfängliche Verbreitung Standort. Wir empfehlen, dass alle Computer ein fortschrittliches und zugleich einfach zu bedienende Anti-Spyware-Lösung einsetzen. Es eignet sich für beide Unternehmen und Nutzer und ist in der Lage, effektiv Spuren von Malware entfernen in nur wenigen Mausklicks. Es garantiert auch einen Schutz vor allen Arten von Bedrohungen.
Spy Hunter Scanner nur die Bedrohung erkennen. Wenn Sie wollen, dass die Bedrohung automatisch entfernt wird, Müssen sie die vollversion des anti-malware tools kaufen.Erfahren Sie mehr über SpyHunter Anti-Malware-Tool / Wie SpyHunter Deinstallieren
Martin Beltov
Martin hat einen Abschluss in Publishing von der Universität Sofia. er schreibt gerne über die neuesten Bedrohungen und Mechanismen des Eindringens Als Cyber-Security-Enthusiasten.
Folge mir: