login contact us
RosConcert.com HomePage
    NEWS CENTRAL >> Hi-Tech >> Интернет

News Central


Интернет

Троян, ворующий деньги, маскируется под открытку
7:45PM Thursday, Mar 6, 2003
Компьюлента. 5 марта 2003 года, 15:30

"Лаборатория Касперского" сообщает о массовой рассылки поддельных электронных открыток, содержащих троянскую программу WMpatch. Эта программа служит для похищения информации у пользователей российской платежной системы WebMoney. Письмо, предлагающее загрузить троян под видом открытки, было разослано в ночь с 4 на 5 марта. По разным оценкам, это сообщение получили от нескольких сотен тысяч до миллиона адресатов. Не стал исключением и почтовый ящик "Компьюленты".

Вычислить поддельные открытки можно следующим образом. Все письма с трояном (см. скриншот) были разосланы с адреса [email protected] с темой "Вам пришла открытка!" и содержали следующий текст:

Вам пришла открытка! Вы можете получить ее, щелкнув по ссылке: http://www.yahoo-greeting-cards.com/***********/viewcard_680fe23d52.asp.scr Открытка доступна для просмотра в течение двух месяцев. ____________________________________________________ Любимые открытки на http://www.yahoo-greeting-cards.com

Hello! You've got a postcard! To view this postcard, click on the link: http://www.yahoo-greeting-cards.com/***********/viewcard_680fe23d52.asp.scr You will be able to see it at anytime within the next 60 days. ____________________________________________________ Favorite postcards on http://www.yahoo-greeting-cards.com

При посещении указанного в письме адреса пользователю предлагается скачать файл viewcard_680fe23d52.asp.scr и запустить его, якобы для просмотра открытки. Двойное расширение призвано скрыть истинную природу файла от пользователей, на компьютерах которых отключен показ расширений файлов зарегистрированных типов. В этом случае пользователь увидит расширение .asp, которое имеют многие документы в интернете, ничего не заподозрит и откроет файл.

Но вместо показа открытки, при открытии файла запустится программа WMpatch, которая после активизации загружает на пораженный компьютер с того же самого сайта (естественно, не имеющего никакого отношения к порталу Yahoo) еще два компонента трояна. Первый из них, dbole.exe, модифицирует системный файл wmclient.dll для перехвата финансовых транзакций по системе WebMoney. Второй компонент sickboy.exe обеспечивает пересылку перехваченных данных на анонимный адрес чешского почтового сервера общего доступа. Таким образом, пользователи WebMoney, подвергшиеся атаке, рискуют лишиться всех средств на своих персональных счетах этой платежной системы.

По словам руководителя информационной службы "Лаборатории Касперского" Дениса Зенкина, инцидент произошел накануне 8 марта неслучайно. "Тонкий расчет вирусописателей сделан на доверчивость пользователей в преддверии женского праздника, во время которого резко возрастает количество пересылаемых поздравительных открыток, и следовательно, снижается бдительность", - добавил Зенкин.

Письмо с предложением скачать троян под видом открытки
Письмо с предложением скачать троян под видом открытки

« « Вернуться       Далее » »
Другие новости по теме
  • AOL - рекордсмен по блокированию спама
  • У Правительства США появился новый веб-сайт
  • Новый опасный вирус Lovegate угрожает пользователям Windows
  • Февральский взлом хакеров оказался крупнейшим в истории
  • Как глупая шутка превратилась в популярный сайт

    Далее » »   Digest | Архив »    
Смотрите также: Hi-Tech, Hardware, SoftNews
News Central Home | News Central Resources | Portal News Resources | Help | Login
     
Phone Cards at ComFi Russian America Top. Рейтнг ресурсов Русской Америки. © 2026 RussianAMERICA Holding
All Rights Reserved • Contact