PwnPOS

PwnPOS on müügikohtade (PoS) kaardikaabitsega pahavara, mis selle avastanud teadlase sõnul on tänu suhteliselt lihtsale struktuurile suutnud jääda avastamata juba seitse aastat. PwnPOS koosneb kahest moodulist - üks vastutab rikutud süsteemi mälu kraapimise eest, teine aga kogutud andmete väljafiltrimise. Tuleb märkida, et oht võib toimida ainult 32-bitistes süsteemides. Esmapilgul võib see tunduda häkkerite ähvardavate plaanide jaoks üsna märkimisväärse takistusena, sest praegusel maastikul on enamik sektoreid üle läinud 64-bitiste süsteemide kasutamisele. Müügikohtade infrastruktuur ei vaja optimaalseks toimimiseks tingimata värskendust, kuigi paljud kasutavad endiselt Windows XP või Windows 7.

Siiani on tuvastatud, et PwnPOS-i operatsioonides kasutatakse täiendavat POS-i pahavara nagu BlackPOS ja Alina . Mis puudutab avastatud ohvrite geograafilist levikut, siis konkreetset piirkonda ei olnud võimalik kindlaks määrata, kuna sihtmärke on leitud mitmel erineval mandril - Jaapanist Saksamaa ja Rumeeniani, USA ja Kanadani, samuti Austraalia ja Indiani.

Vaikimisi installib PwnPOS end aadressile ' % SystemRoot% \ system32 \ wnhelp.exe. Seejärel teeskleb see olevat „Windows Media Help" teenus ja jätkab ennast täitmiseks lüliti „ -service " kaudu . Täiendavate argumentide abil saab oht ennast protsesside loendist lisada või sealt eemaldada, mille tulemuseks on ohustatud süsteemi teatav püsivus.

Andmete kraapimise protsess viiakse läbi töötavate protsesside loendi loendamiseni, mille PwnPOS annab endale loa " SeDebugPrivilege ". Iga sobiv string valideeritakse Luhni algoritmi abil, enne kui see salvestatakse DAT-faili nimega ' perf419.dat. "Seejärel saab kogu failist pärineva teabe võtta ja välja filtreerida üks kahest erinevast binaarfailist.