Polskie banki ostrzegają: wirus Banatrix podmienia numer konta w zupełnie nowy sposób

Związek Banków Polskich ostrzega w swoim komunikacie przed kolejnym niezwykle groźnym wirusem. Banatrix podmienia numer konta m.in. podczas wykonywania przelewu. I to w zupełnie inny sposób, niż znano do tej pory.

Po raz kolejny okazuje się, że brak aktualnego oprogramowania antywirusowego może skończyć się sporymi problemami. Związek Banków Polskich ostrzega przed nowym wirusem o roboczej nazwie Banatrix, który jest w stanie podmienić numer konta podczas przelewania środków za pomocą bankowości online. Wirus atakuje za pomocą najpopularniejszych przeglądarek: Chrome, Firefox, Opera.

Przed wirusem już we wrześniu przestrzegał CERT, który odkrył też mechanizm jego działania. Banatrix to ulepszona wersja odkrytego rok temu wirusa VBKlip. Nowy kod jest zadziwiający. Nie dość, że instaluje się jako zadanie okresowe, to działa w zupełnie inny sposób, niż znane wcześniej wirusy. Nie wykorzystuje schowka.

Otrzymana przez nas próbka instalowała się w systemie Windows jako zadanie okresowe. [...] Ścieżka, z której był uruchamiany proces, to wartość właściwości CommonAppDataFolder w systemie Windows (np. w przypadku systemu Windows XP jest to domyślnie C:\Documents and Settings\All Users\Application Data). Oprócz tego próbka potrzebowała do działania, umieszczonego w tym samym katalogu, pliku .windows.sys, który jest zaszyfrowanym plikiem DLL. Ta biblioteka, ładowana podczas startu złośliwego oprogramowania, odpowiada za komunikację sieciową oraz całe właściwe działanie. [...] S ama metoda działania jest wyjątkowo prosta i jednocześnie innowacyjna. Tym razem w żaden sposób nie jest wykorzystywany schowek systemu Windows. Złośliwe oprogramowanie szuka procesów takich jak chrome.exe. Jeśli znajdzie taki proces, przeszukuje jego pamięć pod kątem 26-cyfrowych ciągów (zapisanych ze spacjami bądź bez). Jeśli znajdzie taki ciąg to podmienia go na inny, pobrany z serwera C&C. Powoduje to, że numer konta może rzeczywiście zmienić się "na oczach? użytkownika. Dokładnie tak jak pokazano na filmie poniżej.

Cert wyjaśnia też jak sprawdzić, czy jesteśmy zainfekowani:

Na początku prosimy się upewnić, że mają Państwo uruchomioną tylko jedną przeglądarkę internetową. Najlepiej jest mieć uruchomioną przeglądarkę Mozilla Firefox. Następnie należy poczekać około 2 minut. Radzimy także nacisnąć prawy klawisz myszki, wybrać "Wyświetl źródło strony? i zamknąć okno, które się otworzy. Poniżej znajdują się dwa numery kont. Jeśli będą one różne oznacza to, że Państwa maszyna jest zainfekowana.

Wirus zmieni "na naszych oczach" numer konta zapisany tekstowo:

30 1234 1234 1234 1234 1234 1234

Ale pozostawi numer wyświetlony w postaci obrazka:

nr konta

 

Wirus, który potrafi zmienić numer konta, który widzimy na stronie logując się na przykład na własne konto e-mailowe jest naprawdę groźny. Dlatego warto dbać o aktualne oprogramowanie antywirusowe, a przy przelewach na duże kwoty warto po prostu potwierdzać numer konta telefonicznie.

Więcej o: