PwnPOS

PwnPOS on Point-of-Sale (PoS) -kortinpoistajahaittaohjelma, joka on sen löytäneen tutkijan mukaan onnistunut pysymään huomaamattomana yli seitsemän vuotta suhteellisen yksinkertaisen rakenteensa ansiosta. PwnPOS koostuu kahdesta moduulista - yksi on vastuussa vaarantuneen järjestelmän muistista ja toinen suorittaa kerättyjen tietojen suodattamisen. On huomattava, että uhka voi toimia vain 32-bittisissä järjestelmissä. Ensi silmäyksellä tämä saattaa kuulostaa melko merkittävältä esteeltä hakkereiden uhkaaville suunnitelmille, koska nykyisessä ympäristössä useimmat sektorit ovat siirtyneet käyttämään 64-bittisiä järjestelmiä. Myyntipisteinfrastruktuuri ei välttämättä tarvitse päivitystä toimiakseen optimaalisesti, vaikka monet käyttävät edelleen Windows XP: tä tai Windows 7: ää.

Toistaiseksi on havaittu, että PwnPOS-toiminnot käyttävät ylimääräisiä POS-haittaohjelmia, kuten BlackPOS ja Alina . Havaittujen uhrien maantieteellisen leviämisen osalta ei voida määrittää konkreettista aluetta, koska tavoitteita on löydetty useilta eri mantereilta - Japanista Saksaan ja Romaniaan, Yhdysvaltoihin ja Kanadaan, myös Australiaan ja Intiaan.

Oletusarvoisesti PwnPOS asentaa itsensä osoitteeseen % SystemRoot% \ system32 \ wnhelp.exe. 'Se sitten teeskentelee olevansa' Windows Media Help '-palvelu ja jatkaa itsensä suorittamista' -palvelu '-kytkimen kautta. Lisä argumenttien avulla uhka voi joko lisätä itsensä tai poistaa itsensä prosessiluettelosta, mikä johtaa tiettyyn jatkuvuuden tilaan vaarantuneessa järjestelmässä.

Tietojen kaavinta suoritetaan laskemalla käynnissä olevien prosessien luettelo PwnPOS: lta, joka myöntää itselleen ' SeDebugPrivilege ' -oikeuden. Mikä tahansa sopiva merkkijono tarkistetaan Luhn-algoritmilla, ennen kuin se tallennetaan DAT-tiedostoon nimeltä perf419.dat. 'Kaikki tämän tiedoston tiedot voidaan sitten ottaa ja suodattaa jommallakummalla kahdesta eri binaarista.