Security experts identificeerde een nieuwe aanvalsgolf met de ATMii ATM virus dat de hele wereld heeft verspreid. De malware een grondige analyse ondergaan deskundigen en wordt snel gedistribueerd door criminelen op wereldschaal.
ATMii ATM Virus Infection Route
De security experts waren in staat om een volledige beveiliging analyse van de ATMii ATM virus uit te voeren. Het bestaat uit twee componenten:
- injector Module - Een uitvoerbaar bestand met de naam exe.exe die verantwoordelijk is voor het starten van de belangrijkste virus engine.
- virus Engine - Dit is het belangrijkste deel van de ATMii ATM virus dat wordt gebruikt om de infectie te bereiken en voeren de geprogrammeerde sequentie aanval.
Het virus infectie begint met de uitvoering van de injector module die de slachtoffers. Op dit moment is er geen gedetailleerde informatie beschikbaar is over de verdeling tactiek maar er zijn verschillende mogelijke inbraak paden.
Eén van hen is gebaseerd op een infectie via het interne netwerk. Deze is gebaseerd op afbreuk te doen aan de kwetsbaarheden van andere hosts te vinden op de interne hosts. Populaire tactiek worden gebruikt, zoals e-mail spam-berichten dat social engineering-tactieken gebruiken om de doelstellingen te infecteren zelf. Een andere optie is om web-advertenties, Trojans of kwaadwillige browser plugins (ook wel bekend als kapers of redirects) dat hebben de ATMii ATM virus als de belangrijkste payload. Andersom infecteren de geldautomaten met ATMii virus is een fysieke aanval op verrichten.
De injector zelf is geschreven in de Visual C-programmeertaal, wat betekent dat het compatibel is met alle moderne Microsoft Windows-versies is. Wanneer het wordt gelanceerd begint het om een reeks commando's te verwerken, zoals gedefinieerd door de instructies van de hacker. De component ondersteunt verschillende parameters zoals ontdekt door de security onderzoekers:
- laden - Het wordt gebruikt om een kwaadaardige bibliotheek injecteren (dll.dll) in de atmapp.exe werkwijze. De opdracht wordt de injector te zoeken naar de gegeven proces en bel de belangrijkste.
- cmd - Dit commando maakt en / of werkt het configuratiebestand c.ini. Het wordt gebruikt om de geïnjecteerde DLL configureren. De verzamelde monsters zijn gevonden om zichzelf bij te werken telkens wanneer het uitvoerbare bestand wordt uitgevoerd met dit argument.
- disp - Dit is een afkorting voor “uitdelen” een bepaalde hoeveelheid valuta door de geldautomaten.
- de - verzoekt de ATMii ATM virus om de configuratie bestand te verwijderen.
De ATM-virus is specifiek gericht op Microsoft Windows-computers als een zeer groot deel van de machines nog draaien op versies zo vroeg XP.
ATMii ATM Virus Capabilities
De injectie module laadt een dynamische bibliotheek en vervangt een belangrijke functie neer met een wrapper die een aparte kwaadaardige toevoeging omvat. De primaire functie van de ATMii ATM virus lijkt de infectie en verkeerde configuratie van een speciaal proces dat de machines beheert zijn - de proprietary atmapp.exe bestand. De architectuur van de hacker gecontroleerde sequentie voor de service-gebaseerde architectuur te volgen en geldautomaten herconfigureren overeenkomstig de criminelen.
Zodra de injector met succes de belangrijkste virus bestand heeft noemde het haalt de hardware-informatie. Dit gebeurt de afgifte van een tweede subset van commando's, de eerste heet “scannen” die automatisch wordt uitgevoerd zodra het DLL-bibliotheek in de geselecteerde proces wordt geïnjecteerd.
Volgende, de “info” commando wordt gebruikt om informatie te verkrijgen over de beschikbare cassettes en hun inhoud. Zodra de hackers weten de exacte hoeveelheid geld die op dit moment in de machines worden gehouden kunnen zij gebruik maken van de “disp” (kort voor “uitdelen”) om fysiek het geld te innen. Twee parameter opties beschikbaar die prima kan worden afgesteld op een exacte configuratie - valuta en bedrag. Het type munt moet ten minste één van de drieletterige landencode codes in de geldautomaten de praktijk is gebracht. Het “de” commando commando kan worden gebruikt door de hackers om het te verwijderen c.ini configuratiebestand dat kan worden gebruikt om de sequentie uit veiligheidsbeheerders of analisten verbergen.
Gevolgen van een ATMii ATM Virus Infection
Door de wereldwijde aanvalsgolf de ATMii ATM virus kan infecteren machines wereldwijd. De computer criminelen kan de malware gebruiken om machines in hun omgeving grote hoeveelheden geld in gevaar brengen en snel terug te trekken zonder werkelijke fysieke interventie. Dit kan fataal zijn als de machines hebben grote hoeveelheden geld en zijn niet goed beveiligd door het personeel van de bank.
Afhankelijk van het beveiligingsbeleid en speelde regelmatig scans de ATMii ATM virus kan niet onmiddellijk worden opgespoord en verwijderd, wat kan leiden tot een veel begaan misdaden door de criminelen. Op dit moment is er geen informatie beschikbaar is over hun identiteit of initiële 'spread locatie. We raden alle computers gebruik van een geavanceerde en tegelijkertijd eenvoudig te gebruiken anti-spyware oplossing. Het is geschikt voor zowel zakelijke gebruikers en is in staat om effectief te verwijderen sporen van malware in slechts een paar muisklikken. Het garandeert ook de bescherming tegen alle soorten bedreigingen.
Spy Hunter scanner zal alleen de bedreiging op te sporen. Als u wilt dat de bedreiging voor automatisch verwijderd, je nodig hebt om de volledige versie van de anti-malware gereedschap kopen.Ontdek meer over SpyHunter Anti-Malware Tool / Hoe te verwijderen SpyHunter
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: