Los expertos en seguridad identificaron una nueva ola de ataque con el virus ATMii ATM que se ha extendido en todo el mundo. El malware ha sido objeto de un análisis exhaustivo por los expertos y rápidamente se está distribuyendo por los delincuentes en una escala mundial.
ATMii ATM Ruta Virus Infección
Los expertos en seguridad fueron capaces de llevar a cabo un análisis de seguridad completa del virus ATMii ATM. Se compone de dos componentes:
- Módulo inyector - Un archivo ejecutable llamado exe.exe que es responsable de poner en marcha el motor principal del virus.
- motor de virus - Esta es la parte principal del virus ATMii ATM que se utiliza para lograr la infección y llevar a cabo la secuencia de ataque programada.
La infección por el virus comienza con la ejecución del módulo inyector por las víctimas. Por el momento no hay disponible información detallada acerca de las tácticas de distribución sin embargo hay varias vías posibles intrusos.
Uno de ellos se basa en una infección a través de la red interna. Esto se basa en comprometedoras vulnerabilidades de otras máquinas que se encuentran en los hosts internos. tácticas populares se utilizan como mensajes de spam de correo electrónico que utilizan tácticas de ingeniería social para hacer que los objetivos se contagian. Otra opción es utilizar los anuncios web, Troyanos o plugins del navegador maliciosos (también conocido como secuestradores o redirecciones) que tienen el virus ATMii ATM como la carga útil principal. La otra forma de infectar a los cajeros automáticos con el virus ATMii es llevar a cabo un ataque físico en ellos.
El inyector sí está escrito en el lenguaje de programación Visual C que significa que es compatible con todas las versiones actuales de Microsoft Windows. Cuando se puso en marcha empieza a procesar una secuencia de comandos como se define en las instrucciones del pirata informático. El componente admite varios parámetros como fue descubierta por los investigadores de seguridad:
- carga - Se utiliza para inyectar una librería maliciosa (dll.dll) en el atmapp.exe proceso. El comando indica el inyector para buscar el proceso dado y llamar a la principal.
- cmd - Este comando crea y / o actualiza el archivo de configuración llamado c.ini. Se utiliza para configurar el DLL inyectado. Las muestras recogidas se han encontrado para actualizarse cada vez que el archivo ejecutable se ejecuta con este argumento.
- disp - Esta es la abreviatura de “dispensar” una cantidad dada de la moneda por las máquinas ATM.
- la - Indica al virus de ATMii cajero automático para eliminar el archivo de configuración.
El virus de la ATM está específicamente dirigido a los equipos de Microsoft Windows como una parte muy importante de las máquinas todavía se ejecutan en versiones tan pronto como XP.
Capacidades de virus ATMii ATM
El módulo de inyección de carga una biblioteca dinámica y sustituye a una funcion importante, con una envoltura que incluye una adición separada malicioso. La función primaria del virus ATMii ATM parece ser la infección y mala configuración de un proceso especial que administra las máquinas - la propietaria atmapp.exe expediente. La arquitectura de la secuencia de pirata informático controlado es seguir la arquitectura basada en servicio y volver a configurar los cajeros automáticos de acuerdo con los criminales.
Una vez que el inyector ha llamado correctamente el archivo principal del virus se extrae la información de hardware. Esto se realiza la emisión de un segundo subconjunto de comandos, la primera se llama “escanear” que se llama automáticamente una vez que la biblioteca DLL es inyectado en el proceso de destino.
Siguiente, la “info” comando se utiliza para extraer información acerca de los casetes disponibles y sus contenidos. Una vez que los hackers saben la cantidad exacta de dinero que actualmente se conservan en las máquinas que pueden utilizar el “disp” (corto para “dispensar”) para recoger físicamente el dinero. Dos opciones de parámetros están disponibles que pueden ser afinado para una configuración exacta - moneda y cantidad. El tipo de moneda debe contener al menos uno de los códigos de país de tres letras implementadas en el cajero automático de. El “la” comando comando puede ser utilizado por los hackers para eliminar la c.ini archivo de configuración que puede ser utilizado para ocultar la secuencia de los administradores de seguridad o analistas.
Consecuencias de una infección por el virus ATMii ATM
Como resultado de la ola mundial ataque del virus ATMii ATM es capaz de infectar las máquinas en todo el mundo. Los delincuentes informáticos pueden utilizar el software malicioso para comprometer las máquinas en su área local y rápidamente retirar grandes cantidades de dinero sin intervención física real. Esto puede resultar fatal cuando las máquinas contienen grandes cantidades de dinero y no se fijan correctamente por el personal del banco.
Dependiendo de las políticas de seguridad y realiza exploraciones periódicas del virus ATMii cajero automático que no puede ser detectado y eliminado de inmediato, que puede conducir a una gran cantidad de crímenes cometidos por los delincuentes. Por el momento no hay información disponible acerca de su identidad o ubicación inicial de propagación. Recomendamos que todos los ordenadores emplean un avanzado y al mismo tiempo fácil de usar solución anti-spyware. Es adecuado tanto para usuarios corporativos y y es capaz de eliminar de forma eficaz los rastros de malware en sólo unos pocos clics de ratón. También garantiza la protección contra todo tipo de amenazas.
Escáner Spy Hunter sólo detectará la amenaza. Si desea que la amenaza se elimine de forma automática, usted necesita comprar la versión completa de la herramienta anti-malware.Obtenga más información sobre la herramienta de SpyHunter Anti-Malware / Cómo desinstalar SpyHunter
Martin Beltov
Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.
Sígueme: