趨勢科技（Trend Micro）的研究人員無意中發(fā)現(xiàn)了MalumPOS病毒，它是一種新型的專門針對運行在Micros公司和其他POS系統(tǒng)平臺的pos機的惡意軟件。

甲骨文公司去年以53億美元收購了Micros公司，該公司因其為零售業(yè)和酒店服務(wù)業(yè)開發(fā)POS機系統(tǒng)和企業(yè)級信息軟件而聞名。根據(jù)甲骨文公司提供的數(shù)據(jù)來看，超過33萬的Micros系統(tǒng)被部署在各個公司中，這些公司遍布全球180多個國家和地區(qū)。

MalumPOS這一惡意軟件通過許多方式進行散布，其中包括偽裝成“英偉達顯示驅(qū)動”來感染其他設(shè)備。一旦其感染了一個POS機設(shè)備，設(shè)備的威脅監(jiān)控就會運行程序搜索設(shè)備內(nèi)存中記錄的有價值的銀行卡信息。趨勢科技在一份技術(shù)簡報中提到這一惡意軟件甚至可以同時運行一百個進程。

那些被搜索到的信用卡信息將會被重新編碼并存儲在一個叫“nvsvc.dll”的文件中，這樣看起來就更像是合法的英偉達驅(qū)動中普通的一部分。

MalumPOS是使用Delphi語言進行編寫的，而且它使用正則表達式來搜尋信用卡密碼和其他有價值的數(shù)據(jù)。不同的正則表達式則被用來識別軌道1和軌道2數(shù)據(jù)。這一惡意軟件的目標是Visa卡，美國運通，發(fā)現(xiàn)卡，萬事達和大來卡等信用卡，研究人員說道。

趨勢科技警告道，那些被竊數(shù)據(jù)可被用來復制支付卡或進行欺騙性的網(wǎng)絡(luò)交易，大多數(shù)潛在的受害者都分布在美國。

對于POS機惡意軟件來說，利用正則表達式來識別支付卡信息確實不太尋常。但是專家們注意到這一惡意軟件使用的表達式之前就在Rdaserv惡意軟件庫中出現(xiàn)過。趨勢科技表示他們已經(jīng)確認了Rdaserv和MalumPOS這兩個惡意軟件之間的許多相似之處，從而證明了這些威脅在某種程度上是有聯(lián)系的。

為了能夠偽裝成英偉達圖形驅(qū)動，惡意軟件的開發(fā)者還利用了舊的時間戳（例如：1992-06-19 17:22:17）并對應(yīng)用程序編程接口進行動態(tài)加載來騙過偵測。

雖然現(xiàn)在這一惡意程序看起來主要感染使用Micros公司平臺的設(shè)備，但研究人員認為這一軟件也有能力在其它平臺系統(tǒng)上通過用戶對互聯(lián)網(wǎng)瀏覽器的訪問竊取信息，如Oracle Forms，Shift4。

“MalumPOS生來就是可配置的。這就意味著在未來威脅的制造者可以改變或者增加其他的進程或目標。例如，他可以在MalumPOS的攻擊目標上加上Radiant或者NCR Counterpoint的POS機系統(tǒng)。”趨勢科技的威脅分析師Jay Yaneza在他的一篇博文中提到。