Из-за фрода убытки в сфере банковского обслуживания достигли 92 млн. евро.  Более чем втреть увеличились потери  в системах онлайн-банкинга и вдвое- в  платежных терминалах.

Хотя несколько десятков миллионов, которые похитили мошенники, и незначительны по сравнению с денежным оборотом в этой отрасли, банкиры Голландии стали серьезнее задумываться об обеспечении защиты своих клиентов от интернет-мошенничества. Они вкладывают огромные суммы на приобретение современных средств обеспечения безопасности платежей,  сотрудничают с органами правопорядка при расследованиях, оповещают клиентов о возможных вариантах мошенничества и как можно себя защитить в таком случае. Также банки ведут активную спонсорскую деятельность по финансированию телепроектов, которые посвящены различным способам выуживания финансовой информации. NVB сумели значительно сократить сроки реакции на кибератаки и в 2012 году ввели новый стандарт для банковских карт с чипами в целях повышения уровня безопасности -EMV,  который разработали MasterCard, Visa и Europay.

Получить «выигрыш» можно, перечислив на указанный счет несколько тысяч или сотен долларов, объясняя это комиссией за перевод суммы, платой за открытие счета и т.п. Такие затраты могут показаться « везунчику» не такими уж большими в сравнении с призом. Получив же денежный перевод, мошенники умолкают и исчезают. Разыскать их крайне сложно, почти невозможно.
Нужно быть осторожными и не попадаться на удочку!
Как определить «лотерейное» мошенничество?
Уведомление о выигрыше в лотерею, где пользователь не участвовал – фальшивое. Если же пользователь участвовал в определенной лотерее и ожидает кругленькой суммы? Когда проводится официальный розыгрыш призов, к участвовавшему в нем обратятся по № лотерейного билета или по имени. Письмо обязательно укажет свой адрес и название компании, организовавшей розыгрыш.
Фальшивые уведомления выглядят по-разному. Многие содержат грубые ошибки. В серьезных же компаниях, проводящих лотереи, работают специалисты-редакторы. Могут быть подделки, написанные без ошибок и хорошо оформленные, но они отправляются с почтового публичного сервера типа yahoo.com, hotmail.com, gmail.com. Сообщение от надежной компании содержит корпоративный адрес. Иногда пользователю предлагают отослать ответ по адресу, отличному от того, с которого было прислано письмо, на адрес какого-нибудь менеджера. Проще говоря, в фальшивом уведомлении всегда можно обнаружить какую-то странную нестыковку.

Код, исполняемый на данном этапе, содержит несложный разборщик форматов систем файлов  NTFS и FAT32.Его цель – найти на диске сектора, соответствующие системным файлам winlogon.exe или wininit.exe, компонентам, отвечающим за вход пользователя в систему.

При нахождении требуемых секторов вредонос заражает исполняемый файл winlogon.exe или wininit.exe ( использование технологии файловых вирусов), делая прямые записи в секторах диска, где он расположен. В 8-м секторе находится шаблон для заражения.

В виду своих малых размеров код выполняет 2 задачи :

1. Загрузка из сети определенного файла по ссылке и его запуск;
2. Запуск  руткит-драйвера (my.sys, расположенного на диске C:), предназначенный для защиты зараженных секторов диска.

Цель этой функции –выяснить, если в  MBR есть зараженная копия, в случае же ее отсутствия – восстановить заражение. Загрузочная инфицированная запись и последующие сектора присутствуют в самом модуле. И  при обнаружении несоответствия возможно «перезаражение» MBR напрямую из BIOS. Даже в случае излечения MBR риск зараженного состояния компьютера велик.

«Магическая» константа определяет наличие заражения. Ее поиск происходит по фиксированному смещению в MBR. В зараженном секторе должна быть в наличии константа «int1». Функция CheckMBRInfected должна обнаружить  в главной загрузочной записи заражение. Если этого не происходит, вредонос заразит MBR и 13 последующих секторов. После этого  добавленный в BIOS модуль ISA ROM заканчивает свою работу. Основную работу будет осуществлять исполняющийся из MBR код.

FindSMIPORTAndBIOSSize – первая функция, используемая для определения типа BIOS в системе. Для этого ищется «магическая» сигнатура в памяти. При совпадении сигнатуры функция действует дальше и делает попытку найти SMI_PORT и вычислить размер bios. B других ситуациях ошибка возвращается и дроппер заразит MBR обычным образом.

Проверка, аутентифицировавшая BIOS AWARD и нашедшая переменные SMI_PORT и BIOSSize вызывает за собой функцию MakeBIOSBackup, сохраняющую образ БИОС в файле c:\bios.bin. После того, как образ сохранен на диске, дроппер делает проверку на наличие своего модуля. Если он отсутствует, в образ BIOS добавляется ISA ROM при помощи утилиты cbrom.exe(cbrom c:\bios.bin /isa hook.rom). Далее вызывается функция FlashROM, которая прошивает зараженный образ в ROM. Каждый раз при включении компьютера образ будет вызываться снова и снова.

Kомпоненты:

драйвер : bios.sys (устройство \Device\Bios) для работы с BIOS;

драйвер:  my.sys (устройство \Device\hide) для укрытия заражения;

hook.rom – компонент BIOS;

библиотека управления  bios.sys — flash.dll драйвером;

программа для работы с образом  BIOS от производителя – cbrom.exe.

Сначала дроппер расшифровывает и начинает процесс установки. На жесткий диск подается и запускается bios.sys драйвер с целью получить нужную информацию о BIOS.

В корень диска сбрасывается  my.sys драйвер. При  AWARD BIOS действует алгоритм:

1  читается из памяти  BIOS, ищется SMI_PORT, определяется размер BIOS

2  на диске (c:\bios.bin) создается образ BIOS

3  производится добавление к образу при отсутствии на диске образе БИОС модуля hook.rom

4  с диска в ROM прошивается «зараженный» образ.

При использовании BIOS, отличного от AWARD, дроппер заражает MBR. Таким образом, руткит способен проникать в любые системы, любого производителя.