Vírusos bankautomaták lopják az adatokat
Súlyos fenyegetettségnek lehetnek kitéve a bankjegykiadó automaták a TrustWave információbiztonsági cég szerint. Eddig körülbelül húsz ATM fertőződött meg, a legtöbb Kelet-Európában.
A bűnözők a saját készítésű kártyáikkal férhetnek hozzá a vírusba ágyazott felhasználói felülethez, és a kártékony szoftver fejlett menedzselési képességeit kihasználva átvehetik az irányítást a megfertőzött ATM felett. A féreg a bankkártya mágnesszalagára kódolt adatokat lopja le, és az ATM-en futó tranzakciókezelő alkalmazásokból nyer ki PIN-kódokat. A vizsgált bankjegykiadó automaták mindegyike Windows XP operációs rendszert használt.
A szakemberek szerint a vírus most még nem tud hálózati kapcsolatot kiépíteni, vagyis az automatából kihalászott információkat nem tudja eljuttatni az interneten keresztül egy távoli állomásra. Alkalmas viszont arra, hogy a berendezés nyomtatóját felhasználva egyszerűen papírra vesse az összegyűjtött adatokat, illetve a kártyabeolvasóba csúsztatott speciális tárolóegységre rögzítse. Sőt, a vírus kódját elemzők egy olyan algoritmusra is felfigyeltek, amely a bankjegyeket kiadó kazettás egység kilökésére ad utasítást az ATM-nek.
A vírus telepítéséért és aktiválásáért egy isadmin.exe nevű fájl felelős, amely egyébként a Borland Delphi Rapid Application Development (RAD) végrehajtható állománya. A fájl célja kettős: egyrészt elhelyezi magát a vírust a Windows gyökérkönyvtárában, másrészt manipulálja a Windows egyik szolgáltatását a fertőzés sikeres kivitelezéséhez. Ehhez a program kicsomagolja a férget lsass.exe néven a Windows gyökérkönyvtárába, majd nekiáll manipulálni a védett tároló (protected storage) szolgáltatást annak érdekében, hogy a system32 mappában lévő gyári lsass.exe fájlt lecserélje a vírusos változatra.
Miután a vírusos fájl sikerrel járt, egy másik funkciót is bekapcsol, amely gondoskodik arról, hogy a rendszer minden esetleges lefagyást követően automatikusan újrainduljon, így biztosítva a féreg aktivitásának megőrzését.