Súlyos fenyegetettségnek lehetnek kitéve bankjegykiadó automaták – figyelmeztet pénzintézeteket a TrustWave információbiztonsági cég. A vizsgálatok szerint eddig körülbelül 20 ATM-et ért kibertámadás, a legtöbb fertőzött eszközt Kelet-Európában regisztrálták. A vállalat kiemeli, hogy az automatákra telepített vírus jelen formájában inkább tesztnek, semmint éles bevetésnek tűnik, viszont elég nagy a valószínűsége annak, hogy a jövőben önmagát terjesztve szertefecskendezzen férgeket az ATM-hálózatokban.

A bűnözők saját készítésű kártyáikat a beolvasó egységbe helyezve férhetnek hozzá a vírusba ágyazott felhasználói felülethez, melynek megfelelő konfigurálásával – kihasználva a kártékony szoftver fejlett menedzselési képességeit – átvehetik az irányítást a megfertőzött ATM felett. A féreg a bankkártya mágnesszalagára kódolt adatokat lopja le, illetőleg a fertőzött ATM-en futó tranzakciókezelő alkalmazásokból nyer ki PIN-kódokat. A vizsgált bankjegykiadó automaták mindegyike Windows XP operációs rendszert használt.

A szakemberek nem tartanak attól, hogy a vírus jelen formájában képes lehet hálózati kapcsolatok kiépítésére, vagyis az automatából kihalászott információkat nem tudja eljuttatni az interneten keresztül egy távoli állomásra. Alkalmas viszont arra, hogy a berendezés nyomtatóját felhasználva egyszerűen papírra vesse az összegyűjtött adatokat, illetve a kártyabeolvasóba csúsztatott speciális tárolóegységre rögzítse. Sőt, a vírus kódját elemzők egy olyan algoritmusra is felfigyeltek, amely a bankjegyeket kiadó kazettás egység kilökésére ad utasítást az ATM-nek.

„Ilyen vírust még sosem láttunk korábban. A támadó teljesen átveheti az irányítást az ATM felett, hozzáférhet PIN-kódokhoz és a pénzhez is” – aggódik a TrustWave. „Úgy véljük, a jelenleg megfigyelhető támadás a kártékony szoftver egy korai változata; a jövőbeli támadások olyan funkciókat adhatnak hozzá a kódhoz, mint a terjesztés: ha a támadó egyszer bejutott az egyik ATM-be, képes lehet megfertőzni az automatával kapcsolatban álló többi rendszert is.”

A vírus telepítéséért és aktiválásáért egy isadmin.exe nevű pottyantó (dropper) fájl tehető felelőssé, mely egyébként a Borland Delphi Rapid Application Development (RAD) végrehajtható állománya. A pottyantó célja kettős: egyrészt elhelyezni magát a vírust a Windows gyökérkönyvtárában, másrészt manipulálni a Windows egyik szolgáltatását a fertőzés sikeres kivitelezéséhez. Ehhez a program kicsomagolja a férget lsass.exe néven a Windows gyökérkönyvtárába, majd nekiáll manipulálni a védett tároló (protected storage) szolgáltatást annak érdekében, hogy az eredetileg a system32 mappában lévő gyári lsass.exe állományt kvázi lecserélje a nemrég telepített vírusos változatra. Miután a pottyantó sikerrel járt, egy másik funkciót is bekapcsol, amely gondoskodik arról, hogy a rendszer minden esetleges lefagyást követően automatikusan újrainduljon, így biztosítva a féreg aktivitásának megőrzését.