Polskie banki ostrzegają: wirus Banatrix podmienia numer konta w zupełnie nowy sposób

Związek Banków Polskich ostrzega w swoim komunikacie przed kolejnym niezwykle groźnym wirusem. Banatrix podmienia numer konta m.in. podczas wykonywania przelewu. I to w zupełnie inny sposób, niż znano do tej pory.

Po raz kolejny okazuje się, że brak aktualnego oprogramowania antywirusowego może skończyć się sporymi problemami. Związek Banków Polskich ostrzega przed nowym wirusem o roboczej nazwie Banatrix, który jest w stanie podmienić numer konta podczas przelewania środków za pomocą bankowości online. Wirus atakuje za pomocą najpopularniejszych przeglądarek: Chrome, Firefox, Opera.

Przed wirusem już we wrześniu przestrzegał CERT, który odkrył też mechanizm jego działania. Banatrix to ulepszona wersja odkrytego rok temu wirusa VBKlip. Nowy kod jest zadziwiający. Nie dość, że instaluje się jako zadanie okresowe, to działa w zupełnie inny sposób, niż znane wcześniej wirusy. Nie wykorzystuje schowka.

Otrzymana przez nas próbka instalowała się w systemie Windows jako zadanie okresowe. [...] Ścieżka, z której był uruchamiany proces, to wartość właściwości CommonAppDataFolder w systemie Windows (np. w przypadku systemu Windows XP jest to domyślnie C:\Documents and Settings\All Users\Application Data). Oprócz tego próbka potrzebowała do działania, umieszczonego w tym samym katalogu, pliku .windows.sys, który jest zaszyfrowanym plikiem DLL. Ta biblioteka, ładowana podczas startu złośliwego oprogramowania, odpowiada za komunikację sieciową oraz całe właściwe działanie. [...] S ama metoda działania jest wyjątkowo prosta i jednocześnie innowacyjna. Tym razem w żaden sposób nie jest wykorzystywany schowek systemu Windows. Złośliwe oprogramowanie szuka procesów takich jak chrome.exe. Jeśli znajdzie taki proces, przeszukuje jego pamięć pod kątem 26-cyfrowych ciągów (zapisanych ze spacjami bądź bez). Jeśli znajdzie taki ciąg to podmienia go na inny, pobrany z serwera C&C. Powoduje to, że numer konta może rzeczywiście zmienić się "na oczach? użytkownika. Dokładnie tak jak pokazano na filmie poniżej.

Cert wyjaśnia też jak sprawdzić, czy jesteśmy zainfekowani:

Na początku prosimy się upewnić, że mają Państwo uruchomioną tylko jedną przeglądarkę internetową. Najlepiej jest mieć uruchomioną przeglądarkę Mozilla Firefox. Następnie należy poczekać około 2 minut. Radzimy także nacisnąć prawy klawisz myszki, wybrać "Wyświetl źródło strony? i zamknąć okno, które się otworzy. Poniżej znajdują się dwa numery kont. Jeśli będą one różne oznacza to, że Państwa maszyna jest zainfekowana.

Wirus zmieni "na naszych oczach" numer konta zapisany tekstowo:

30 1234 1234 1234 1234 1234 1234

Ale pozostawi numer wyświetlony w postaci obrazka:

nr konta

 

Wirus, który potrafi zmienić numer konta, który widzimy na stronie logując się na przykład na własne konto e-mailowe jest naprawdę groźny. Dlatego warto dbać o aktualne oprogramowanie antywirusowe, a przy przelewach na duże kwoty warto po prostu potwierdzać numer konta telefonicznie.

Więcej o:
Komentarze (46)
Polskie banki ostrzegają: wirus Banatrix podmienia numer konta w zupełnie nowy sposób
Zaloguj się
  • anm-az

    Oceniono 1 raz -1

    Niestety złodzieje zawsze chcą nas okraść zmienia się tylko forma, bez dobrego konta jednak nie da rady egzystować. Przy odrobinie rozsądku takie sytuacje nie będą miały miejsca. Mam konto getin up i sobie chwalę, dzięki niemu mam sporą autonomię jeśli chodzi o dostęp do moich pieniędzy.

  • gulonek-gdynia

    Oceniono 2 razy 2

    Po pierwsze takie działania tego wirusa powinny być monitorowane przez policje na bieżąco,przecież kont na słupa nie może być w nieskończoność takie numery kont powinny być odrazu zglaszane w bankach i monitorowane przez kryminalnych i odrazu banowane z zawieszenie m uslug wyplat lub przelewów do czasu wyjasnienia

  • Artur Cudziło

    Oceniono 5 razy 3

    Cytat :
    " ... Po raz kolejny okazuje się, że brak aktualnego oprogramowania antywirusowego może skończyć się sporymi problemami...
    ... Dlatego warto dbać o aktualne oprogramowanie antywirusowe ... "

    W artykule cert na którym się opierał autor napisane jest :
    "... bo sam główny plik złośliwego oprogramowania nie jest wykrywany przez żaden antywirus, spośród tych obecnych w serwisie Virustotal: ... " - a kto ma inny antywirus niż te co są na Virustotal ?

    Główne przesłanie tego artykułu to "Kupujcie antywirusy" - a przecież nie ma skutecznego antywirusa !
    O co chodziło autorowi ?

  • Asad Laudyov

    Oceniono 4 razy 4

    Gratuluję Panu redaktorowi zapłonu CERT pisał o tym dwa miesiące temu: www.cert.pl/news/8999

  • kiakon

    Oceniono 1 raz 1

    I dlatego do kazdej operacji bankowej uzywam linuksa (ubuntu) zbotowanego w pendrive.Startuje poza systemem jako samodzielny system operacyjny odporny na wszelkiego rodzaju wirusy.

  • druop22

    Oceniono 10 razy 6

    A to w windows jeden program może pisać po pamięci drugiego i zmieniać mu dane? Ciekawe, myślałem że taki program zostałby natychmiast zamknięty przez system operacyjny..

  • Lucjan Krueger

    Oceniono 12 razy 8

    To metody bohaterów z filmu VABANK już nie przydatne.Lubie ten film.

  • andres1167

    Oceniono 62 razy -40

    To nowa metoda PO jak ograbic reszte polakow stylem na wirusa bo nie ma na kogo zrzucic winy,proponuje bracia polacy wycofajmy wszyscy pieniadze z bankow i po klopocie

Aby ocenić zaloguj się lub zarejestrujX