Le 16 mars 2011

Doctor Web annonce la détection du Trojan.PWS.OSMP contaminant les terminaux de paiement d'un système russe assez développé sur le marché. Ce programme agit sur le processus maratl.exe, lancé dans le système d'exploitation de la machine, afin de changer le numéro de compte sur lequel l'utilisateur verse de l'argent. C'est ainsi que l'argent arrive directement dans les mains des malfaiteurs.

Au départ, BackDoor.Pushnik, qui s'intègre dans l'OS Windows de la machine, est un programme malveillant possédant un autorun conçu en langage Delphi. Il peut se propager via les supports amovibles, y compris par USB Flash Drive. Dès que BackDoor.Pushnik est lancé, il reçoit du serveur du 1er niveau les informations concernant le serveur du 2ème niveau qui à son tour télécharge le Trojan.PWS.OSMP depuis le 3ème serveur.

Le Trojan.PWS.OSMP est un des premiers programmes menaçant la sécurité des utilisateurs des terminaux de paiement. Il analyse le logiciel de la machine pour trouver le processus maratl.exe, un programme tout à fait légal. Ensuite, il change la mémoire du processus et permet aux malfaiteurs de modifier tout numéro introduit pour verser de l'argent. C'est ainsi que les concepteurs de virus reçoivent de l'argent.

La dernière modification connue du Trojan.PWS.OSMP, apparue fin février 2011, fonctionne selon un autre schéma. Elle vole le fichier de configuration, ce qui probablement permet aux malfaiteurs de créer une fausse machine de paiement sur un PC et d’envoyer de l'argent sur un compte bancaire électronique.

Il n'y a pas de doute que le Trojan.PWS.OSMP représente aujourd'hui une très grande menace pour les terminaux de paiement connectés à Internet et utilisant le processus maratl.exe.

Selon les spécialistes, la probabilité de contamination d'un grand nombre de machines par ce trojan n'est pas très élevée car l'activité du Trojan.PWS.OSMP est aujourd'hui considérée comme basse.