Zacznijmy od tego (ostrzegam - dość żenującego) artykułu: Polskie banki ostrzegają: wirus Banatrix podmienia numer konta w zupełnie nowy sposób. Następnie proponuję przenieść się do źródła: VBKlip 2.0: bez schowka, za to z efektami specjalnymi. Przy czym raczej polecałbym przeczytać angielską wersję, bo to "zadanie okresowe" mnie kopie - w polskiej wersji Scheduled Tasks są tłumaczone (chyba) na Zaplanowane Zadania.
Przede wszystkim nie jestem zaskoczony istnieniem takiego wirusa, a nawet na swój specyficzny sposób cieszę się, że się pojawił. Dlaczego? Dlatego, że być może bzdurne "zabezpieczenie" polegające na wyłączeniu możliwości kopiowania numeru konta nie będzie implementowane/zalecane. Tak naprawdę możliwość podmiany rachunku wpisanego przez użytkownika malware ma od dawna. W dodatku "możliwość" należy tutaj rozumieć nie jako jakieś techniczne "supermoce", tylko jako zaimplementowaną/dostępną standardowo funkcję.
Druga sprawa - Scheduled Tasks już dawno były wykorzystywane przez malware jako persistence mechanisms co jest opisane choćby tutaj: Windows Forensic Analysis Toolkit: Advanced Analysis Techniques for Windows 8.
Po trzecie - ten malware cały czas jest prymitywny. Dlaczego? Dlatego, że go widać. Dobry malware powinien podmieniać numer rachunku wysyłany do serwera, ale jednocześnie ukrywać ten fakt przed użytkownikiem - prezentować oryginalny numer rachunku w GUI. Malware ma taką (techniczną) możliwość.
W tym kontekście bardzo dobrze pasuje ta prezentacja: Evaluation of Transactional Controls in e-Banking Systems (slajd 13).
Przy okazji - jest dokładnie tak, jak mówiłem ostatnio na WHEEL Eventing #006 - warto wyjść od dwóch elementów:
- co atakujący ma;
- co atakujący może (mając to, co mu "daliśmy").
Jeśli atakującemu "dajemy" malware zainstalowane na stacji ofiary, to tak trywialne rzeczy jak podmiana rachunku i ukrywanie tego faktu przed użytkownikiem atakujący po prostu może.
