Фінансові новини
- |
- 19.12.24
- |
- 11:03
- |
-
RSS - |
- мапа сайту
Авторизация
 | |
|
"Глибше орати - більше хліба жувати" Українське прислів'я |
Троян, ворующий WebMoney, маскируется под открытку
18:42 05.03.2003 |
"Лаборатория Касперского" сообщает о массовой рассылки поддельных электронных открыток, содержащих троянскую программу WMpatch. Эта программа служит для похищения информации у пользователей российской платежной системы WebMoney. Письмо, предлагающее загрузить троян под видом открытки, было разослано в ночь с 4 на 5 марта. По разным оценкам, это сообщение получили от нескольких сотен тысяч до миллиона адресатов. Не стал исключением и почтовый ящик "Компьюленты".
Вычислить поддельные открытки можно следующим образом. Все письма с трояном были разосланы с адреса greeting [email protected] с темой "Вам пришла открытка!" и содержали следующий текст:
Вам пришла открытка! Вы можете получить ее, щелкнув по ссылке: http://www.yahoo - greeting - cards.com/***********/viewcard 680fe23d52.asp.scr
Открытка доступна для просмотра в течение двух месяцев.
Любимые открытки на http://www.yahoo - greeting - cards.com
Hello! You've got a postcard! To view this postcard, click on the link: http://www.yahoo - greeting - cards.com/***********/viewcard 680fe23d52.asp.scr
You will be able to see it at anytime within the next 60 days.
Favorite postcards on http://www.yahoo - greeting - cards.com
При посещении указанного в письме адреса пользователю предлагается скачать файл viewcard 680fe23d52.asp.scr и запустить его, якобы для просмотра открытки. Двойное расширение призвано скрыть истинную природу файла от пользователей, на компьютерах которых отключен показ расширений файлов зарегистрированных типов. В этом случае пользователь увидит расширение .asp, которое имеют многие документы в интернете, ничего не заподозрит и откроет файл.
Но вместо показа открытки, при открытии файла запустится программа WMpatch, которая после активизации загружает на пораженный компьютер с того же самого сайта (естественно, не имеющего никакого отношения к порталу Yahoo) еще два компонента трояна. Первый из них, dbole.exe, модифицирует системный файл wmclient.dll для перехвата финансовых транзакций по системе WebMoney. Второй компонент sickboy.exe обеспечивает пересылку перехваченных данных на анонимный адрес чешского почтового сервера общего доступа. Таким образом, пользователи WebMoney, подвергшиеся атаке, рискуют лишиться всех средств на своих персональных счетах этой платежной системы.
По словам руководителя информационной службы "Лаборатории Касперского" Дениса Зенкина, инцидент произошел накануне 8 марта неслучайно. "Тонкий расчет вирусописателей сделан на доверчивость пользователей в преддверии женского праздника, во время которого резко возрастает количество пересылаемых поздравительных открыток, и следовательно, снижается бдительность", - добавил Зенкин.