转载

甲骨文POS机系统中病毒，影响或达180多个国家

　　6 月 8 日晚间消息，趋势科技（Trend Micro）的研究人员无意中发现了 MalumPOS 病毒，它是一种新型的专门针对运行在 Micros 公司和其他 POS 系统平台的 POS 机的恶意软件。

　　甲骨文公司去年以 53 亿美元收购了 Micros 公司，该公司因其为零售业和酒店服务业开发 POS 机系统和企业级信息软件而闻名。根据甲骨文公司提供的数据来看，超过 33 万的 Micros 系统被部署在各个公司中，这些公司遍布全球 180 多个国家和地区。

　　MalumPOS 这一恶意软件通过许多方式进行散布，其中包括伪装成“英伟达显示驱动”来感染其他设备。一旦其感染了一个 POS 机设备，设备的威胁监控就会运行程序搜索设备内存中记录的有价值的银行卡信息。趋势科技在一份技术简报中提到这一恶意软件甚至可以同时运行一百个进程。

　　那些被搜索到的信用卡信息将会被重新编码并存储在一个叫“nvsvc.dll”的文件中，这样看起来就更像是合法的英伟达驱动中普通的一部分。

　　MalumPOS 是使用 Delphi 语言进行编写的，而且它使用正则表达式来搜寻信用卡密码和其他有价值的数据。不同的正则表达式则被用来识别轨道 1 和轨道 2 数据。这一恶意软件的目标是 Visa 卡，美国运通，发现卡，万事达和大来卡等信用卡，研究人员说道。

　　趋势科技警告道，那些被窃数据可被用来复制支付卡或进行欺骗性的网络交易，大多数潜在的受害者都分布在美国。

　　对于 POS 机恶意软件来说，利用正则表达式来识别支付卡信息确实不太寻常。但是专家们注意到这一恶意软件使用的表达式之前就在 Rdaserv 恶意软件库中出现过。趋势科技表示他们已经确认了 Rdaserv 和 MalumPOS 这两个恶意软件之间的许多相似之处，从而证明了这些威胁在某种程度上是有联系的。

　　为了能够伪装成英伟达图形驱动，恶意软件的开发者还利用了旧的时间戳（例如：1992-06-19 17:22:17）并对应用程序编程接口进行动态加载来骗过侦测。

　　虽然现在这一恶意程序看起来主要感染使用 Micros 公司平台的设备，但研究人员认为这一软件也有能力在其它平台系统上通过用户对互联网浏览器的访问窃取信息，如 Oracle Forms，Shift4。

　　“MalumPOS 生来就是可配置的。这就意味着在未来威胁的制造者可以改变或者增加其他的进程或目标。例如，他可以在 MalumPOS 的攻击目标上加上 Radiant 或者 NCR Counterpoint 的 POS 机系统。”趋势科技的威胁分析师 Jay Yaneza 在他的一篇博文中提到。

正文到此结束