Les experts en sécurité ont identifié une nouvelle vague d'attaque par le virus ATM ATMii qui est répandu dans le monde entier. Le logiciel malveillant a subi une analyse approfondie par les experts et est rapidement distribuée par des criminels à l'échelle mondiale.
ATMii ATM virus Route des infections
Les experts en sécurité ont pu procéder à une analyse de sécurité complète du virus ATM ATMii. Il est composé de deux composants:
- Module Injector - Un fichier exécutable appelé exe.exe qui est responsable pour le démarrage du moteur principal de virus.
- virus Engine - Ceci est la partie principale du virus ATM ATMii qui est utilisé pour atteindre l'infection et mener à bien la séquence d'attaque programmée.
L'infection par le virus commence par l'exécution du module d'injection par les victimes. Pour l'instant aucune information détaillée est disponible sur les tactiques de distribution mais il existe plusieurs voies possibles d'intrusion.
L'un d'eux repose sur une l'infection par le réseau interne. Cela repose sur les vulnérabilités compromettantes d'autres hôtes trouvés sur les hôtes internes. tactiques populaires sont utilisés, tels que les messages de spam par courrier électronique qui utilisent des tactiques d'ingénierie sociale pour rendre les objectifs eux-mêmes infectent. Une autre option consiste à utiliser des annonces web, Chevaux de Troie ou des plugins de navigateur malveillants (également connu sous le nom pirates de l'air ou réoriente) qui ont le virus ATM ATMii comme la charge utile principale. L'autre façon d'infecter les machines ATM avec le virus ATMii est d'effectuer sur eux une attaque physique.
L'injecteur lui-même est écrit dans le langage de programmation Visual C ce qui signifie qu'il est compatible avec toutes les versions de Microsoft Windows contemporain. Quand il est lancé, il commence à traiter une séquence de commandes telle que définie par les instructions du pirate. Le composant prend en charge plusieurs paramètres comme découvert par les chercheurs en sécurité:
- charge - Il est utilisé pour injecter une bibliothèque illicite (dll.dll) dans le atmapp.exe processus. La commande indique à l'injecteur pour rechercher le processus donné et appelez le principal.
- cmd - Cette commande crée et / ou met à jour le fichier de configuration appelé c.ini. Il est utilisé pour configurer la DLL injectée. Les échantillons recueillis ont été trouvés pour se mettre à jour chaque fois que le fichier exécutable est exécuté avec cet argument.
- AFF - C'est l'abréviation de “dispenser” une quantité donnée de monnaie par les distributeurs automatiques de billets.
- la - Ordonne le virus ATM ATMii supprimer le fichier de configuration.
Le virus ATM est spécifiquement destiné aux ordinateurs Microsoft Windows comme une très grande partie des machines fonctionnent encore sur les versions dès XP.
Réseau de virus ATM ATMii
Le module d'injection charge une bibliothèque dynamique et remplace une funtion importante avec une enveloppe qui comprend un ajout malveillant distinct. La fonction principale du virus ATM ATMii semble être l'infection et d'un processus misconfiguration spécial qui gère les machines - le propriétaire atmapp.exe fichier. L'architecture de la séquence contrôlée hacker est de suivre l'architecture basée sur les services et reconfigurer les guichets automatiques selon les criminels.
Une fois que l'injecteur a appelé avec succès le fichier principal de virus, il extrait les informations de matériel. Cela se fait l'émission d'un deuxième sous-ensemble de commandes, la première est appelée “balayage” qui est appelé automatiquement une fois que la bibliothèque DLL est injecté dans le processus cible.
Suivant, la “infos” commande est utilisée pour extraire des informations sur les cassettes disponibles et leur contenu. Une fois que les pirates savent le montant exact de l'argent qui sont actuellement conservés dans les machines qu'ils peuvent utiliser la “AFF” (court pour “dispenser”) pour collecter physiquement l'argent. Deux options de paramètres sont disponibles qui peuvent être peaufiné pour une configuration exacte - devise et montant. Le type de monnaie doit contenir au moins un des codes de pays à trois lettres mises en œuvre dans le ATM. La “la” commande de commande peut être utilisée par les pirates pour supprimer le c.ini fichier de configuration qui peut être utilisé pour cacher la séquence des administrateurs de sécurité ou analystes.
Les conséquences d'une infection par le virus ATM ATMii
En raison de la vague d'attaque globale du virus ATM ATMii est capable d'infecter les machines dans le monde entier. Les criminels informatiques peuvent utiliser le logiciel malveillant de compromettre des machines dans leur région et de retirer rapidement de grandes quantités d'argent sans intervention physique. Cela peut se révéler fatale lorsque les machines détiennent de grandes quantités d'argent et ne sont pas correctement garantis par les employés de la banque.
Selon les politiques de sécurité et effectué des analyses régulières du virus ATM ATMii ne peut pas être immédiatement détectés et supprimés qui peut conduire à un grand nombre de crimes commis par les criminels. À l'heure actuelle aucune information disponible sur leur identité ou le lieu de diffusion initiale. Nous recommandons que tous les ordinateurs utilisent une avancée et en même temps facile à utiliser la solution anti-spyware. Il convient aussi bien pour les entreprises et les utilisateurs et est en mesure d'éliminer efficacement les traces de logiciels malveillants en seulement quelques clics de souris. Il garantit également une protection contre toutes sortes de menaces.
Spy Hunter scanner ne détecte que la menace. Si vous voulez que la menace d'être retiré automatiquement, vous devez acheter la version complète de l'outil anti-malware.En savoir plus sur l'outil SpyHunter Anti-Malware / Comment désinstaller SpyHunter
Martin Beltov
Martin a obtenu un diplôme en édition de l'Université de Sofia. En tant que passionné de cyber-sécurité, il aime écrire sur les menaces les plus récentes et les mécanismes d'intrusion.
Suivez-moi: