Несколько российских и украинских интернет-ресурсов со ссылками один на
другой сообщили о начале эпидемии вируса, крадущего деньги с кошельков в
системе WebMoney.
Речь идет о зловреде WM Stealer, о котором
стало известно в конце прошлого года, когда на одном из форумов он был
выставлен на продажу по цене $2000. В сопутствующем сообщении
говорилось, что "работает он по тому же принципу, что и нашумевший WM
Inside, т.е. после похищения данных активировать кипер на новом
оборудовании нет необходимости - клиентская часть сэмулирует
программно-аппаратное окружение. Правда, в отличаи от WMInside, WM
Stealer поддерживает не только старый, но и новый кипер, а так же грабит
баланс (отображаются только ненулевые кошельки). Для удобства троян
поддерживает отчеты WMInside. Написан на ассемблере, имеет небольшой
размер и стабильно работает в системе, по завершению работы
самоудаляется."
Кроме этого, уточнялось, что "для успешной
работы клиента (обхода активации оборудования) необходимо, чтобы IP
адрес, с которого кипер был запущен в прошлый раз и ваш текущий IP адрес
должны совпадать хотя бы первыми двумя числами".
На компьютере
жертвы зловред "заменяет" файл динамической библиотеки inetmib1.dll,
находящийся в системной папке windows/system32/ или
windows/system32/dllcache (прописывает другой путь) , и сохраняет
поддельный inetmib1.dll в произвольном месте. После этого при запуске
клинтской программы WebMoney
Keeper производится подключение уже инфицированного файла
библиотеки inetmib1.dll и происходит скрытая передача данных, в том
числе реквизитов, паролей и ключей владельца WebMoney-кошелька, "куда
надо".
Напоминаем, что для повышения уровня безопасности (не для
этого конкретного случая, а вообще) нужно как можно чаще обновлять
антивирусную базу используемого антивируса и пользоваться
последней=новейшей версией WebMoney кипера.
|
Главная 
