Перейти к содержимому


Фото
- - - - -

«Доктор Веб» предупреждает об опасном троянце, распространяющемся через банкоматы


  • Закрыто Тема закрыта
81 ответов в этой теме

#61 Eugeny Gladkih

Eugeny Gladkih

    the Spirit of the Enlightenment

  • Dr.Web Staff
  • 5 297 Сообщений:

Отправлено 29 Март 2009 - 14:10

Почему же? Они все сделали вывод, что у нас и экземпляра троянца не было. А новость мы дали. По себе судят - они могут говорить о том, о чем совершенно ничего не знают.


нашел то, о чем ты говоришь. ну что ж, ЛК в типичном стиле - $удачье за базар не отвечающее © за такое можно и по морде схлопатать в приличном обществе. хотя пацаненок 20 лет, какая тут морда, просто выпороть и отправить в школу на занятия.

#62 Igor Daniloff

Igor Daniloff

    Member

  • Dr.Web Staff
  • 188 Сообщений:

Отправлено 29 Март 2009 - 14:47

хотя пацаненок 20 лет, какая тут морда, просто выпороть и отправить в школу на занятия.


Пацаненок? Шакалёнок. Там есть шакал, а с ним кто? Шакалёнок.

#63 Eugeny Gladkih

Eugeny Gladkih

    the Spirit of the Enlightenment

  • Dr.Web Staff
  • 5 297 Сообщений:

Отправлено 29 Март 2009 - 16:28

хотя пацаненок 20 лет, какая тут морда, просто выпороть и отправить в школу на занятия.


Пацаненок? Шакалёнок. Там есть шакал, а с ним кто? Шакалёнок.


:)

#64 Serguey Shabashkevich

Serguey Shabashkevich

    Member

  • Dr.Web Staff
  • 469 Сообщений:

Отправлено 31 Март 2009 - 12:28

вот такой вот "агрегатец"
И в правду, под WinXP. даже не Embedded.
"...Если руки сложа Наблюдал свысока, И в борьбу не вступил С подлецом, палачом - Значит, в жизни ты был Ни при чем, ни при чем!" /В. Высоцкий/

#65 Eugeny Gladkih

Eugeny Gladkih

    the Spirit of the Enlightenment

  • Dr.Web Staff
  • 5 297 Сообщений:

Отправлено 01 Апрель 2009 - 22:20

4. ПИн - код снимаемый с клавиатуры тут же аппаратно шифруется. То есть в ОС попадает шифрованный код.


и тут же это позволяет очень легко дешифровать его обратно. перебрать ровно 10000 комбинаций и вычислить ключ, дело секундное. пользуясь почти стандартными средствами. ну закрыли это патчем, а аппаратура-то все равно осталась.

#66 Igor Daniloff

Igor Daniloff

    Member

  • Dr.Web Staff
  • 188 Сообщений:

Отправлено 02 Апрель 2009 - 09:04

и тут же это позволяет очень легко дешифровать его обратно. перебрать ровно 10000 комбинаций и вычислить ключ, дело секундное. пользуясь почти стандартными средствами. ну закрыли это патчем, а аппаратура-то все равно осталась.


Подожди ты! Не торопись. Всё расскажем всем в свое время :)

#67 aal

aal

    Member

  • Posters
  • 141 Сообщений:

Отправлено 02 Апрель 2009 - 12:14

и тут же это позволяет очень легко дешифровать его обратно. перебрать ровно 10000 комбинаций и вычислить ключ, дело секундное. пользуясь почти стандартными средствами. ну закрыли это патчем, а аппаратура-то все равно осталась.


Подожди ты! Не торопись. Всё расскажем всем в свое время :)


Ой! А где и когда наступит это время, очень уже инетерсно!

#68 Serguey Shabashkevich

Serguey Shabashkevich

    Member

  • Dr.Web Staff
  • 469 Сообщений:

Отправлено 02 Апрель 2009 - 12:28

и тут же это позволяет очень легко дешифровать его обратно. перебрать ровно 10000 комбинаций и вычислить ключ, дело секундное. пользуясь почти стандартными средствами. ну закрыли это патчем, а аппаратура-то все равно осталась.


а я то всегда не мог понять почему именно 4 цифры у ПИНа . теперь знаю - чтобы легче ломать было :)
"...Если руки сложа Наблюдал свысока, И в борьбу не вступил С подлецом, палачом - Значит, в жизни ты был Ни при чем, ни при чем!" /В. Высоцкий/

#69 Serguey Shabashkevich

Serguey Shabashkevich

    Member

  • Dr.Web Staff
  • 469 Сообщений:

Отправлено 03 Апрель 2009 - 16:07

Ой! А где и когда наступит это время, очень уже инетерсно!

Похоже время настало:
http://vms.drweb.com/virus/?i=426550

Кстати, интересны помимо прочих технических моментов 2 вещи:
- версия = 5.01 (!!!)
- курс перещёта гривны в USD = 5. т.е. по сути последний раз такой курс перещёта гривны был , если склероз не изменяет, то в июле-августе 2008 .
отсюда вывод, что версии ниже 5.01 "сидели" в банкоматах как минимум уже год назад!

Из воды показалась вершина айсберга?
"...Если руки сложа Наблюдал свысока, И в борьбу не вступил С подлецом, палачом - Значит, в жизни ты был Ни при чем, ни при чем!" /В. Высоцкий/

#70 Colonel

Colonel

    Newbie

  • Posters
  • 17 Сообщений:

Отправлено 04 Апрель 2009 - 11:41

Ой! А где и когда наступит это время, очень уже инетерсно!

Похоже время настало:
http://vms.drweb.com/virus/?i=426550

Кстати, интересны помимо прочих технических моментов 2 вещи:
- версия = 5.01 (!!!)
- курс перещёта гривны в USD = 5. т.е. по сути последний раз такой курс перещёта гривны был , если склероз не изменяет, то в июле-августе 2008 .
отсюда вывод, что версии ниже 5.01 "сидели" в банкоматах как минимум уже год назад!

Из воды показалась вершина айсберга?

Номер версии ни о чем не говорит. Так же, как и курс пересчета.
Итак, карточные транзакции мониторятся - я об этом говорил. Как и тривиальные карточные фроды - это к ним относится. Мониторинг показал первые случаи фродов, не связанных с "белым пластиком" напрямую только в ноябре. Это опять не факт, что связано конкретно с этим трояном. Но все ж....
Второе - курс пересчета в банкомате ВСЕГДА - курс НБУ, Центробанка, Банка России (нужное добавите) на день расчетов. Курс 5,05 может говорить однозначно только, что на время с0здания был конкретно курс 5,05 и 26. И все.Кроме того, насчитываются проценты за услуги конвертации, обналичивания и т.д. Если курс отличен от курса государства - это сразу отбрасывает транзакцию в "сомнительную". То есть кардер прокололся. Из этих цифр можно вытянуть только время создания\вливания = не более.
То есть - из курсовой разницы сегодня опасность транзакций кардеров преувеличена, скажем, по описанному сэмплу. Жалобы на фроды принимаются МПС круглосуточно.
Про брусфорс - алгоритм в шифраторе не один, и вы это знаете. Длина ключа тоже может быть разной. Поэтому на самом деле не все так просто. Плюс не стоит ограничивать все ПИн блоком. Для корректной работы нужно еще кое-что. С этим, безусловно, проще, но все же.
И последнее - миллионов пострадавших нет. Вы имеете 10 сэмлов - для моей страны это больше, чем зараженных банкоматов. Может быть, пока.
И последнее - про айсберг - банкоматы мониторятся. Насколько качественно - вопрос второй. Но - почему ни разу не воспользовались опустошением диспенсеров? Проще, никаких промежуточных функций - именно из=за наличия мониторинга и прямого указания, что конкретный банкомат "под колпаком". То есть - можно убедить себя, что трояны в банкоматах воровали данные еще в 1997 году....Вот незадача тут есть одна....
И последнее - троян опасен ТОЛЬКО для Magnet Stripe Card. Об этом громко промолчали все.

#71 Eugeny Gladkih

Eugeny Gladkih

    the Spirit of the Enlightenment

  • Dr.Web Staff
  • 5 297 Сообщений:

Отправлено 04 Апрель 2009 - 11:56

И последнее - троян опасен ТОЛЬКО для Magnet Stripe Card. Об этом громко промолчали все.


это неправда.

#72 IlyaS

IlyaS

    Massive Poster

  • Posters
  • 2 911 Сообщений:

Отправлено 04 Апрель 2009 - 21:53

Прочитал описание Skimer и стало любопытно: при лечении вируса сервис Logwriter тоже лечится?

#73 Valery Ledovskoy

Valery Ledovskoy

    Poster

  • Posters
  • 1 367 Сообщений:

Отправлено 06 Апрель 2009 - 09:17

- курс перещёта гривны в USD = 5. т.е. по сути последний раз такой курс перещёта гривны был , если склероз не изменяет, то в июле-августе 2008 .


Есть данные, что схема использовалась с ноября 2008 года.

Второе - курс пересчета в банкомате ВСЕГДА - курс НБУ, Центробанка, Банка России (нужное добавите) на день расчетов. Курс 5,05 может говорить однозначно только, что на время с0здания был конкретно курс 5,05 и 26. И все.Кроме того, насчитываются проценты за услуги конвертации, обналичивания и т.д. Если курс отличен от курса государства - это сразу отбрасывает транзакцию в "сомнительную".


Вы прочитали описание по диагонали. Trojan.Skimer в своих файлах сохраняет информацию о балансе счёта, если клиент эту информацию запрашивает. Для единообразия сохраняет эту инфу в долларах США. И совершает конвертацию из двух других валют в доллары США по своему курсу. Никаких транзакций при этом не совершается.

Троян вообще не совершает никаких транзакций, если внимательно посмотреть, если не считать за транзакцию опустошение кассет банкомата, но и эта операция вряд ли где-то фиксируется, ибо тоже является достаточно сомнительной, а значит, производится в обход всего :)
http://ledovskoy.com - Приятно познакомиться (с) :)

#74 Colonel

Colonel

    Newbie

  • Posters
  • 17 Сообщений:

Отправлено 06 Апрель 2009 - 10:51

Состояние диспенсера - контролируемый параметр, сорри. То есть - не только контролируется, но и мониторится и логгируется. То есть сброс диспенсера в "0" без транзакционных действий - алерт на экран, и контроль банкомата
Второе - любое обращение к счету требует обращения в процессинг. Это разве не транзакция? При этом особо контролируются "гостевые" карты
С датой старта - ноябрь - соглашусь.
Обработка чиповых карт проводится по СОВЕРШЕННО иной схеме. Данные содержимого там недоступны, если они не сдублированы на нее. Но это неверная практика. Даже с ПИН там несколько иная схема. Но - сходная. Остальное уходит в виде контейнера

#75 Serguey Shabashkevich

Serguey Shabashkevich

    Member

  • Dr.Web Staff
  • 469 Сообщений:

Отправлено 06 Апрель 2009 - 13:16

Номер версии ни о чем не говорит. Так же, как и курс пересчета.

Это Вам автор трояна поведал ?

Вы имеете 10 сэмлов - для моей страны это больше, чем зараженных банкоматов. Может быть, пока.

В Украине уже есть прецеденты ?
"...Если руки сложа Наблюдал свысока, И в борьбу не вступил С подлецом, палачом - Значит, в жизни ты был Ни при чем, ни при чем!" /В. Высоцкий/

#76 Eugeny Gladkih

Eugeny Gladkih

    the Spirit of the Enlightenment

  • Dr.Web Staff
  • 5 297 Сообщений:

Отправлено 06 Апрель 2009 - 15:42

Обработка чиповых карт проводится по СОВЕРШЕННО иной схеме. Данные содержимого там недоступны, если они не сдублированы на нее. Но это неверная практика.



если бы всегда и везде была бы правильная практика, не было б троянчега вообще.
а вообще прежде чем рассуждать о нем, нужно быть в теме. а будучи в теме, было бы ясно как и для чего скимер использует чип :) а он его использует.

#77 Valery Ledovskoy

Valery Ledovskoy

    Poster

  • Posters
  • 1 367 Сообщений:

Отправлено 07 Апрель 2009 - 11:58

Второе - любое обращение к счету требует обращения в процессинг. Это разве не транзакция?


Так клиент совершает вполне легальную транзакцию - запрос состояния счёта - и получает эту информацию. Троян перехватывает эту информацию и уже сам в зависимости от того, в какой валюте пришёл этот баланс, только для себя, чтобы удобно и единообразно сохранить в лог, переводит этот баланс в доллары США. Для этой операции трояну не нужно совершать никаких транзакций. Если клиент не запросит состояние счёта - то и троян его не сохранит у себя. И пересчитывать из одной валюты в другую не будет.
http://ledovskoy.com - Приятно познакомиться (с) :)

#78 Igor Daniloff

Igor Daniloff

    Member

  • Dr.Web Staff
  • 188 Сообщений:

Отправлено 07 Апрель 2009 - 20:20

Есть данные, что схема использовалась с ноября 2008 года.


Нет. В ноябре он был уже где-то пойман. А работал он, наверное, с августа-сентября. Если даже не раньше :)

#79 Colonel

Colonel

    Newbie

  • Posters
  • 17 Сообщений:

Отправлено 08 Апрель 2009 - 07:51

Номер версии ни о чем не говорит. Так же, как и курс пересчета.

Это Вам автор трояна поведал ?

Вы имеете 10 сэмлов - для моей страны это больше, чем зараженных банкоматов. Может быть, пока.

В Украине уже есть прецеденты ?

скорее, это вам он поведал. У меня есть просто статистика. Которая достаточно четко определяет появление нового варианта "бомбежки" карточных счетов. Оттуда и сроки предполагаемого начала внедрения
Оттуда же типы АТМ, в которых работает троян

#80 Pavel Plotnikov

Pavel Plotnikov

  • Guests
  • 5 276 Сообщений:

Отправлено 08 Апрель 2009 - 07:55

скорее, это вам он поведал. У меня есть просто статистика. Которая достаточно четко определяет появление нового варианта "бомбежки" карточных счетов. Оттуда и сроки предполагаемого начала внедрения
Оттуда же типы АТМ, в которых работает троян

Вы хотите сказать, что нашли вирус первым или в статистику заглянули когда нашу новость прочитали?
GUI/Android/iOS/WP8/волейбол


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых