Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.co.jp:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート | テクニカルサポート利用方法

お問い合わせ履歴

電話する

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

ATMを狙うTrojan.Skimer.19

2014年3月17日

株式会社Doctor Web Pacific


Doctor Webのウイルスアナリストは、ATMを感染させる新たなマルウェアTrojan.Skimer.19を発見しました。
このTrojan.Skimer.19に関連した攻撃は現在も続いています。

このトロイの木馬のメインペイロードは、Dr.WebにTrojan.Starter.2971として検出される別の悪意のあるプログラムのNTFS代替データストリームに内に潜むダイナミックリンクライブラリに格納されています。また、感染したシステムがNTFSファイルシステムを使用していた場合、Trojan.Skimer.19はそのログをデータストリーム内に格納します。それらのファイルには入手した銀行キャッシュカード情報や情報を復号化するためのキーが含まれています。

ATMのOSを感染させると、Trojan.Skimer.19は暗号化PINパッド(EPP:Encrypted Pin Pad)への入力を監視し、特定の組み合わせが入力されると、犯罪者からのコマンドを実行します。それらのコマンドには以下のものがあります。

  • ログファイルをチップカード上に保存、PINコードを復号化する。
  • トロイの木馬ライブラリおよびログファイルを削除し、ホストファイルを「修復」、システムを再起動させる(犯罪者はATMに対して2回コマンドを送信します。最初のコマンドが送られてから2つ目のコマンドが送られるまでに10秒かかります)。
  • トランザクション数、カードやキーなどの統計情報を表示する。

    map

  • ログファイルを全て削除する。
  • システムを再起動させる。
  • チップカードからトロイの木馬をアップデートする。
  • このトロイの木馬ファミリーのこれまでのバージョンと同様、Trojan.Skimer.19はATMキーパッドへのコードの入力によってのみでなく、特別なカードを使用してもアクティベートされます。

    盗んだデータを復号化するために、Trojan.Skimer.19はログファイル内に格納してある盗んだ暗号化キーを利用しますが、その際に、ATM上にインストールされたソフトウェアか、または独自の暗号化アルゴリズムDESを使用します。

    Doctor Webでは、それぞれ異なる機能を持った複数のバージョンの悪意のあるライブラリを確認しています。Dr.Webアンチウイルスソフトウェアは、それらの全てを検出・駆除することに成功しています。

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。

1992年に製品の開発をスタートしました。

Dr.Webは世界200ヶ国以上のユーザーに利用されています。

2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。

24時間体制サポート

© Doctor Web
2003 — 2019

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific 〒105-0003 東京都港区西新橋1-14-10 西新橋スタービル 2F