Один из крупнейших российских платежных сервисов считает сообщения о вирусе в своих терминалах искаженными. По данным QIWI, вредоносное программное обеспечение не способно похищать деньги клиентов. О «трояне», который накануне выявили в компании «Доктор Web», специалисты QIWI узнали месяц назад, ни один клиент не пострадал.
Платежный сервис QIWI считает сообщения компании «Доктор Web» о наличии вируса в своих платежных терминалах существенно искаженными -- вирус-троян не представляет опасности для сохранности платежей клиентов.
В руководстве компании заявили, что о появлении вируса Trojan.PWS.OSMP, о котором сообщил «Доктор Web», QIWI стало известно еще месяц назад, 20 февраля. Вредоносная программа была зафиксирована специализированной системой мониторинга вирусов. Специалисты компании «отреагировали и произвели необходимые действия по устранению возможных угроз со стороны этого вредоносного ПО», - сообщили в QIWI.
По данным платежного сервиса, ни один клиент QIWI не пострадал, краж и несанкционированных действий не зафиксировано. В компании сообщают, что ежедневно через платежный сервис QIWI проходит более 10 млн транзакций, и они прекрасно понимают интерес злоумышленников. В связи с этим сервис уделяет максимум внимания безопасности и надежности.
QIWI рапортует, что сервис использует многоуровневую систему защиты, которая успешно противостоит атакам, в том числе систему Anti-Fraud, которая сумеет распознать любую атаку и заблокировать поступление платежей с фальшивого терминала, созданного через хищение конфигурационного файла. Сейчас платежный сервис продолжает свою работу в стандартном режиме.
Задняя дверь
«Доктор Web» обнаружил вредоносную программу Trojan.PWS.OSMP в платежном сервисе 16 марта. На сайте компании сообщалось, что вирус подменяет номер счета, на который осуществляется платеж. Вредоносная программа BackDoor.Pushnik вмешивается в работу легального процесса maratl.exe, который запущен в операционной системе терминала. В результате злоумышленники могут исправить любой номер счета, на который пользователи отправляют деньги.
BackDoor.Pushnik написана в виде исполняемого файла на языке Delphi. Она передается в терминалы через съемные носители, в частности USB Flash Drive. Когда «флешка» подключается к терминалу, происходит автозапуск бэкдора. Он получает с сервера первого уровня информацию об адресе управляющего сервера второго уровня. С него, в свою очередь, исходит «задача» загрузить троянскую программу Trojan.PWS.OSMP с третьего сервера.
Последняя модификация Trojan.PWS.OSMP появилась в конце февраля 2011 года. Она крадет конфигурационный файл, что, предположительно, может помочь злоумышленникам создать поддельный терминал на обыкновенном компьютере и направлять деньги на собственный счет в электронной форме, минуя купюроприемник.
