# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  > Описания вредоносных программ  >  Trojan-PSW.Win32.WebMoner.j

## Зайцев Олег

Видимые проявления: Посторонний процесс в памяти, подмена номеров кошельков WebMoney и Яндекс.Деньги в буфере обмена
Синонимы: Trojan.PWS.Webmonier (DrWEB) 

Троянская программа, написана на Basic, не сжата и не зашифрована, размер 28672 байта. Иконка и копирайты файла поддельные для его маскировки под компонент TWAIN Windows. В случае запуска скрытно выполняет следующие операции: 
1. Создает копию своего исполняемого файла в папке WINDOWS. Имя исполняемого файла соответствует имени, под которым троян бал запущен на компьютере пользователя 
2. Регистрируется в автозапуске, ключ CurrentVersion\Run, параметр System 
3. После запуска скрытно остается в памяти и по таймеру выполняет опрос содержимого буфера обмена. В случае обнаружения в буфере обмена номера кошелька WebMoney (текстовая строка, начинающаяся на Z, E, R, U и 12 цифр после буквы) троянская программа заменяет этот номер на номер кошелька злоумышленника. Для выполнения этой замены в теле троянской программы открытым текстом заданы соответствующие номера Z, E, R и U кошельков. Кроме того, в случае обнаружения в буфере числа, начинающегося с «4» и содержащего 13-14 знаков троянская программа заменяет его на число, заданное в программе. Несложно заметить, что подобный формат имеют номера кошельков системы "Яндекс.Деньги". 
Таким образом, принцип действия троянской программы основан на том, что при совершении платежа часто номера кошельков копируются через буфер обмена и пользователь обычно не проверяет многозначный номер после его вставки. Троянская программа подменяет номер, и пользователь копирует в буфер правильный номер кошелька, а вставляет из буфера уже номер кошелька создателя троянской программы и соответственно отправляет ему деньги. 

*Методика защиты* 
Методика защиты достаточно проста - следует всегда контролировать платежные реквизиты перед совершением платежа через Интернет. Подобный контроль защитит от различных методик подделки и подмены номера кошелька в процессе его ввода или копирования через буфер обмена.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## ISO

Как все просто, автор данного зловреда даже ничего не скрывает, не шифрует. Ведь как я понимаю по номеру кошелька указанному в теле зловреда можно определить и человека создавшего его и соответственно привлечь его по статьям УК РФ 272 и 273 да и в довесок 159. Совсем страх потеряли.

----------


## ХЕЛП

Мне кинули такого троянчика, каждый раз как копирую номер кошелька он заменяется на другой. Вопрос: Как избавится от этой хрени. И второе : как вычислить того, который меня хакнул ???

----------


## Rene-gad

> Как избавится от этой хрени. И второе : как вычислить того, который меня хакнул ???


обязательно прочтите правила

----------

