据卡巴斯基实验室的安全研究人员介绍,一款老式ATM恶意软件已经卷土重来,并且变得更加危险和难以检测。它的名字叫做Skimer,已经感染了全球许多基于Windows平台的ATM机。在被安装之后,升级版的Skimer会检查文件系统为FAT32或NTFS。若为前者,它会丢一个netmgr.dll文件到“C:WindowsSystem32”路径下;若为后者,同一文件会被替换成对应的NTFS数据流(XSF服务的可执行文件)。
结果就是,该恶意软件更难以被安全人员所查获。The Stack补充道:
与其它恶意程序不同(比如在特定时间段内活跃的Tyupkin),Skimer可被‘神秘代码’唤醒,所以潜伏期可以达到数月,直到被‘魔术卡’物理激活。
这张卡片给予了恶意软件的访问权限,然后提供一系列可通过数字键盘输入的后续选项。
ATM Infector Skimer malware in action
一旦ATM被攻破,Skimer恶意软件就会从“睡眠”中苏醒,网络犯罪者可以获取到插入卡片的相关财务信息,甚至直接分配机器上的现金。
更可怕的是,该恶意软件甚至有额外的步骤(自毁模式)来逃避检测,上面就是卡巴斯基提供的演示视频。
本文转自d1net(转载)