Gli esperti di sicurezza hanno identificato una nuova ondata di attacco con il virus ATMii bancomat che si è diffuso in tutto il mondo. Il malware ha subito una approfondita analisi dagli esperti e viene rapidamente distribuito da criminali su scala globale.
ATMii Bancomat Percorso infezione da virus
Gli esperti di sicurezza sono stati in grado di condurre un'analisi di sicurezza completa del virus ATMii bancomat. Esso è costituito da due componenti:
- iniettore Module - un file eseguibile denominato exe.exe che è responsabile per l'avviamento del motore principale del virus.
- Virus Engine - Questa è la parte principale del virus ATMii sportello che viene utilizzato per ottenere l'infezione ed eseguire la sequenza di attacco programmato.
L'infezione da virus inizia con l'esecuzione del modulo iniettore dalle vittime. Al momento non sono disponibili informazioni dettagliate circa le tattiche di distribuzione tuttavia ci sono diversi percorsi possibili intrusioni.
Uno di loro si basa su un infezione tramite la rete interna. Questo si basa su compromettenti vulnerabilità di altri host presenti sugli host interni. tattiche popolari vengono utilizzati come messaggi spam di posta elettronica che utilizzano tattiche di social engineering per rendere gli obiettivi stessi infettano. Un'altra opzione è quella di utilizzare gli annunci web, Trojan o plugin del browser maligni (noto anche come dirottatori o redirect) che hanno il virus ATMii ATM come il payload principale. L'altro modo di infettare le macchine ATM con il virus ATMii è quello di realizzare un attacco fisico su di essi.
L'iniettore stesso è scritto nel linguaggio di programmazione Visual C il che significa che è compatibile con tutte le versioni di Microsoft Windows contemporanee. Quando è lanciato inizia a elaborare una sequenza di comandi come definito dalle istruzioni del degli hacker. Il componente supporta diversi parametri, come scoperto dai ricercatori di sicurezza:
- caricare - E 'usato per iniettare una libreria dannoso (dll.dll) dentro atmapp.exe processo. Il comando indica l'iniettore per la ricerca per il processo di data e chiamare il principale.
- cmd - Questo comando crea e / o aggiorna il file di configurazione chiamato c.ini. Viene utilizzato per configurare il DLL iniettato. I campioni raccolti sono stati trovati per aggiornarsi ogni volta che il file eseguibile viene eseguito con questo argomento.
- disp - Questo è l'abbreviazione di “dispensare” una determinata quantità di valuta dalle macchine ATM.
- il - Indica il virus ATMii ATM per eliminare il file di configurazione.
Il virus ATM è specificamente mirato al computer Microsoft Windows come una grande parte delle macchine ancora eseguito su versioni più presto XP.
ATMii ATM capacità dei virus
Il modulo di iniezione carica una libreria dinamica e sostituisce un funtion importante con un wrapper che include un'aggiunta separata dannoso. La funzione primaria del virus ATMii ATM sembra essere l'infezione e errori di configurazione di un processo speciale che gestisce le macchine - la proprietaria atmapp.exe file. L'architettura della sequenza hacker controllato è di seguire l'architettura basata sui servizi e riconfigurare le macchine ATM secondo i criminali.
Una volta che l'iniettore ha definito con successo il file del virus principale che estrae le informazioni hardware. Questo viene fatto emettere un secondo sottogruppo di comandi, il primo è denominato “scansione” che è chiamato automaticamente una volta che la libreria DLL viene iniettato nel processo di destinazione.
Il Prossimo, il “Informazioni” comando è usato per estrarre le informazioni sulle cassette disponibili e del loro contenuto. Una volta che gli hacker conoscono l'esatta quantità di denaro che sono correntemente conservate in macchine che possono utilizzare il “disp” (Corto per “dispensare”) per raccogliere fisicamente il denaro. sono disponibili che possono essere ottimizzate per una configurazione precisa Due opzioni dei parametri - moneta e quantità. Il tipo di valuta deve contenere almeno uno dei codici dei paesi di tre lettere attuate nel ATM. Il “il” comando comando può essere usato dagli hacker per eliminare la c.ini file di configurazione che può essere utilizzato per nascondere la sequenza dagli amministratori di sicurezza o gli analisti.
Conseguenze di un'infezione da virus ATMii Bancomat
Come risultato dell'onda attacco globale del virus ATMii ATM è in grado di infettare le macchine in tutto il mondo. I criminali informatici possono usare il malware per compromettere le macchine nella loro zona e rapidamente prelevare grandi quantità di denaro senza alcun intervento fisico reale. Questo può rivelarsi fatale quando le macchine dispongono di ingenti somme di denaro e non sono adeguatamente garantiti da personale della banca.
A seconda delle politiche di sicurezza ed eseguito scansioni regolari del virus ATMii ATM non può essere immediatamente rilevato e rimosso, che può portare a un sacco di crimini perpetrati dai criminali. Al momento non sono disponibili informazioni sulla loro identità o la posizione iniziale di diffusione. Consigliamo a tutti i computer utilizzano un avanzato e allo stesso tempo facile da usare, soluzione anti-spyware. E 'adatto sia per gli utenti aziendali e ed è in grado di rimuovere efficacemente le tracce di malware in pochi clic del mouse. Garantisce inoltre la protezione da tutti i tipi di minacce.
Spy Hunter scanner rileva solo la minaccia. Se si desidera che la minaccia da rimuovere automaticamente, è necessario acquistare la versione completa del tool anti-malware.Per saperne di più sullo strumento SpyHunter Anti-Malware / Come disinstallare SpyHunter
Martin Beltov
Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.
Seguimi: