Перейти к содержимому


Фото
- - - - -

«Доктор Веб» предупреждает об опасном троянце, распространяющемся через банкоматы


  • Закрыто Тема закрыта
81 ответов в этой теме

#21 sergeyko

sergeyko

    Guru

  • Dr.Web Staff
  • 3 909 Сообщений:

Отправлено 26 Март 2009 - 13:20

А Вы такой новостью панику не создадите? Люди побегут снимать через банкоматы деньги.

Выбор стоял простой. Либо молчать о проблеме, опасаясь паники, хотя она (проблема) явно есть, либо предупредить. Выбор был сделан в пользу последнего.
"Защити созданное"
Sergey Komarov
R&D www.drweb.com

#22 li0ne

li0ne

    Member

  • Posters
  • 204 Сообщений:

Отправлено 26 Март 2009 - 14:09

Спасибо за информацию.
Вчера не стал снимать деньги именно в росбанковском банкомате.
Взял дома побольше кэша.:)

#23 Alexander Goryachev

Alexander Goryachev

    Космонавт

  • Virus Hunters
  • 1 389 Сообщений:

Отправлено 26 Март 2009 - 19:49

Ну наконец-то в новостях показали комментарий именно Доктора Веба. :P Наверно, впервые. :P
Даже вирлаб засняли. :)

#24 Colonel

Colonel

    Newbie

  • Posters
  • 17 Сообщений:

Отправлено 26 Март 2009 - 20:30

прокомментирую - Diebold Agilis действительно недоработанная и глючная софтина.
Теперь по любимым новостям, которіе писали очень далекие от банкоматов люди. Или о мифах в новостях
1. "Банкоматы часто работают под управлением нестандартных операционных систем, а если даже это и Windows, то специализированная". неправда: Wincor работает на вполне стандартных WinXP, NT4.0; Diebold - WinXP , OS/2 (старые модели); NCR - WinXP, Linux. Банкоматы этих моделей составляют до 90% рынка у нас. Усли это про "прикрутку" софта для работы робота, так это не совсем то. и под Linux в Украине и России очень много банкоматов - около 15%, поскольку есть и другие производители, которых я не упомянул

2. "Кроме того, программный и аппаратный интерфейс банкоматов считается недокументированным". Я знаю людей, у которых есть документация по Wincor + Diebold достаточная для написания драйверов карт-ридеров, принтеров, диспенсоров, изменения интерфейса и анализа протокола Diebold 912. Это представители авторизованных сервисных центров. Другое дело, зачем это им?
3. банкоматы обычно соединяются в изолированные частные сети, а физический доступ к ним без специального ключа затруднён из-за множества датчиков. smile.gif)))))))) Вот если б про доступ к изменению софта написали....А физический доступ к самому банкомату - как же деньги снимать тогда? Или это про сейф? Тогда неувязка - там только деньги. А так - для транспорта используется как правило некая физлиния от провайдера. Только на ней организуется туннель с шифрованием.
4. ПИн - код снимаемый с клавиатуры тут же аппаратно шифруется. То есть в ОС попадает шифрованный код. Проще поставить WEB камеру или накладку - очень немногие банки в своих банкоматах предупреждают о них.
Ну, и последнее - многие банки для обслуживания банкоматов определенных вендоров нанимают сервисные компании, которые и следят за софтовой частью. В очень небольшом количестве банков это берут на себя, поскольку спеца учить дорого, а так теряются вендорские гарантии и гарантии международных платежных систем.
Про опротестование - тоже миф. Белый пластик, кторый постоянно изымается из банкоматов - тоже корректно авторизуется. Сразу в МПС - в международные платежные системы, поскольку карта есть материальное доказательства договора не с банком, а с платежной системой. Банк в этом случае только провайдер. Вот кто в итоге пострадает - отвечу ДиБолд, хотя первоначально может заплатить МПС, потом оштрафуют банк, ну а потом..... Но обычно компенсирует банк
ИМХО - для удара по ДиБолду конкуренты нашли инсайдера, который "влил" трояна в дистрибутив, устанавливаемый в банкоматы. Соответственно, банки, купив такой банкомат, автоматически получают и "припарку"

Очень понравилось про он-лайн сканер
ну и используйте не кєш, а прямые платежи с карт через POS терминалы и переходите на чиповые карты

#25 Borka

Borka

    Забанен за флуд

  • Members
  • 19 512 Сообщений:

Отправлено 26 Март 2009 - 22:35

ИМХО - для удара по ДиБолду конкуренты нашли инсайдера, который "влил" трояна в дистрибутив, устанавливаемый в банкоматы. Соответственно, банки, купив такой банкомат, автоматически получают и "припарку"

Тогда, получается, это проблема не только конкретных банков, даже не проблема российских, а проблема ВСЕХ банков, которые используют банкоматы Диболда? :)
С уважением,
Борис А. Чертенко aka Borka.

#26 Igor Daniloff

Igor Daniloff

    Member

  • Dr.Web Staff
  • 188 Сообщений:

Отправлено 27 Март 2009 - 00:27

Тогда, получается, это проблема не только конкретных банков, даже не проблема российских, а проблема ВСЕХ банков, которые используют банкоматы Диболда? :)


У нас появилась информация о серьезном заражении банкоматов. И у нас уже около 10 модификаций данного троянца. Мы уже их origin'ами ловим :-)

#27 Igor Daniloff

Igor Daniloff

    Member

  • Dr.Web Staff
  • 188 Сообщений:

Отправлено 27 Март 2009 - 00:30

Ну наконец-то в новостях показали комментарий именно Доктора Веба. :P Наверно, впервые. :P
Даже вирлаб засняли. :)


Почему же впервые? Раньше телевидение у нас постоянно крутилось. Сегодня я просто снял запрет на съемку. И зря. Теперь опять его (TV) долго у нас не будет :-)

#28 Borka

Borka

    Забанен за флуд

  • Members
  • 19 512 Сообщений:

Отправлено 27 Март 2009 - 00:33

Тогда, получается, это проблема не только конкретных банков, даже не проблема российских, а проблема ВСЕХ банков, которые используют банкоматы Диболда? :)

У нас появилась информация о серьезном заражении банкоматов. И у нас уже около 10 модификаций данного троянца.

О как... А несколько подробнее что-нибудь сказать можете? :P География? Источник? Аффтар? Число банкоматов?
С уважением,
Борис А. Чертенко aka Borka.

#29 Borka

Borka

    Забанен за флуд

  • Members
  • 19 512 Сообщений:

Отправлено 27 Март 2009 - 00:36

Ну наконец-то в новостях показали комментарий именно Доктора Веба. :P Наверно, впервые. :P
Даже вирлаб засняли. :)

Почему же впервые? Раньше телевидение у нас постоянно крутилось. Сегодня я просто снял запрет на съемку. И зря. Теперь опять его (TV) долго у нас не будет :-)

Кстати, насчет ТВ:
http://www.vesti.ru/videos?vid=199284&...t=0&cid=160
http://www.vesti.ru/videos?vid=199326&...t=0&cid=160
С уважением,
Борис А. Чертенко aka Borka.

#30 Alexander Goryachev

Alexander Goryachev

    Космонавт

  • Virus Hunters
  • 1 389 Сообщений:

Отправлено 27 Март 2009 - 06:27

Ну наконец-то в новостях показали комментарий именно Доктора Веба. :) Наверно, впервые. :P
Даже вирлаб засняли. :huh:


Почему же впервые? Раньше телевидение у нас постоянно крутилось. Сегодня я просто снял запрет на съемку. И зря. Теперь опять его (TV) долго у нас не будет :-)

Хм. Никогда не видел. :)

А почему был запрет и почему опять появился? :P Вроде бы ничего лишнего не засняли: комментарий Бориса Шарова, а да три человека из вирлаба (или тестлаба). :P

#31 Gnostis

Gnostis

    Member

  • Posters
  • 280 Сообщений:

Отправлено 27 Март 2009 - 07:38

http://www.vesti.ru/videos?vid=199284&...t=0&cid=160
http://www.vesti.ru/videos?vid=199326&...t=0&cid=160

Чет лаборатория касперского панику устраивает... Станислав Шевченко дал в очередной раз рекламу каспера, показал какие они белые и пушистые. У него случаем самооценка не завышена?? А то есть признаки.
Мне больше понравился ответ Бориса Шарова говорил он человеческим (а не техническим языком) понятно и по теме, не подымая лишней паники и не рекламирую какой либо антивирус.

#32 Colonel

Colonel

    Newbie

  • Posters
  • 17 Сообщений:

Отправлено 27 Март 2009 - 09:36

ИМХО - для удара по ДиБолду конкуренты нашли инсайдера, который "влил" трояна в дистрибутив, устанавливаемый в банкоматы. Соответственно, банки, купив такой банкомат, автоматически получают и "припарку"

Тогда, получается, это проблема не только конкретных банков, даже не проблема российских, а проблема ВСЕХ банков, которые используют банкоматы Диболда? :)

не факт. Вас я наверное успокою. Выборочная проверка одного из брендов международных платежных систем в одном из системообразующих украинских банков случаев заражения не показала. ВЫбирались, правда, банкоматы, которые обслуживались конкретной компанией. Но тут опять приятно - они обслуживают почти все банкоматы этого вендора.... Так что пока в сэмплах троян есть, в своей среде в Украине не зафиксирован
Некоторые другие банки приняли решение о постепенном отказе от этого бренда - лишние проверки МПС никого не радуют. И проблемы возмещения в кризис - тоже.

#33 Borka

Borka

    Забанен за флуд

  • Members
  • 19 512 Сообщений:

Отправлено 27 Март 2009 - 12:47

ИМХО - для удара по ДиБолду конкуренты нашли инсайдера, который "влил" трояна в дистрибутив, устанавливаемый в банкоматы. Соответственно, банки, купив такой банкомат, автоматически получают и "припарку"

Тогда, получается, это проблема не только конкретных банков, даже не проблема российских, а проблема ВСЕХ банков, которые используют банкоматы Диболда? :P

не факт. Вас я наверное успокою. Выборочная проверка одного из брендов международных платежных систем в одном из системообразующих украинских банков случаев заражения не показала. ВЫбирались, правда, банкоматы, которые обслуживались конкретной компанией. Но тут опять приятно - они обслуживают почти все банкоматы этого вендора.... Так что пока в сэмплах троян есть, в своей среде в Украине не зафиксирован
Некоторые другие банки приняли решение о постепенном отказе от этого бренда - лишние проверки МПС никого не радуют. И проблемы возмещения в кризис - тоже.

Хоть это радует. :)
С уважением,
Борис А. Чертенко aka Borka.

#34 Colonel

Colonel

    Newbie

  • Posters
  • 17 Сообщений:

Отправлено 27 Март 2009 - 13:36

Сегодняшнее общение с МПС порадовало еще больше - пусть и относительно. Регион сужают до России, поскольку в своей среди зафиксирован в основном в Москве и Санкт -Петербурге

#35 Borka

Borka

    Забанен за флуд

  • Members
  • 19 512 Сообщений:

Отправлено 27 Март 2009 - 13:55

Сегодняшнее общение с МПС порадовало еще больше - пусть и относительно. Регион сужают до России, поскольку в своей среди зафиксирован в основном в Москве и Санкт -Петербурге

В таком случае, ИМХО, это удар по конкретным банкам, а не по Диболду.
С уважением,
Борис А. Чертенко aka Borka.

#36 Colonel

Colonel

    Newbie

  • Posters
  • 17 Сообщений:

Отправлено 27 Март 2009 - 14:19

я бы копнул еще сервисные центры по обслуживанию. Поскольку я знаю механизм срабатывания вредоноса, то сразу круг задействованных резко сужается. Ищут все - МПС, представители ДиБолда, пострадавшие банки - их не три, и разные имена банков. Все не так очевидно

#37 Borka

Borka

    Забанен за флуд

  • Members
  • 19 512 Сообщений:

Отправлено 27 Март 2009 - 14:38

я бы копнул еще сервисные центры по обслуживанию. Поскольку я знаю механизм срабатывания вредоноса, то сразу круг задействованных резко сужается. Ищут все - МПС, представители ДиБолда, пострадавшие банки - их не три, и разные имена банков.

Громкий процесс намечается, однако...

Все не так очевидно

Ну, механизма срабатывания, разумеется, не знаю, но мне представлятся, что все не так сложно. :)
С уважением,
Борис А. Чертенко aka Borka.

#38 Igor Daniloff

Igor Daniloff

    Member

  • Dr.Web Staff
  • 188 Сообщений:

Отправлено 27 Март 2009 - 14:55

О как... А несколько подробнее что-нибудь сказать можете? :) География? Источник? Аффтар? Число банкоматов?


Нет. К сожалению, ничего более сказать не могу. Могу сказать только то, что антивирусные компании, которые пытаются вместе с нами пиариться (про пиар -- это они кидают камень в наш огород) не имеют экземпляров данного троянца. Из десяти, существующих у нас на данный момент, модификаций только Sophos знает 2 экземпляра. Вот такие вот выводы :P Молодцы! Ничего даже не скажешь.

#39 Igor Daniloff

Igor Daniloff

    Member

  • Dr.Web Staff
  • 188 Сообщений:

Отправлено 27 Март 2009 - 14:57

А почему был запрет и почему опять появился? :) Вроде бы ничего лишнего не засняли: комментарий Бориса Шарова, а да три человека из вирлаба (или тестлаба). :P


Запрет был и остается. Я не хочу сниматься так, как они потом показывают. Не хочу тратить на них (TV) свое время и время сотрудников.
Это был не вирлаб. Вирлаб показывали в другой передаче.

#40 Igor Daniloff

Igor Daniloff

    Member

  • Dr.Web Staff
  • 188 Сообщений:

Отправлено 27 Март 2009 - 14:59

я бы копнул еще сервисные центры по обслуживанию. Поскольку я знаю механизм срабатывания вредоноса, то сразу круг задействованных резко сужается. Ищут все - МПС, представители ДиБолда, пострадавшие банки - их не три, и разные имена банков. Все не так очевидно


Я думаю, Вам надо уйти со своими рассуждениями в другой форум.


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых