PDA

Просмотр полной версии : Trojan-PSW.Win32.WebMoner.j



Зайцев Олег
10.01.2007, 17:37
Видимые проявления: Посторонний процесс в памяти, подмена номеров кошельков WebMoney и Яндекс.Деньги в буфере обмена
Синонимы: Trojan.PWS.Webmonier (DrWEB)

Троянская программа, написана на Basic, не сжата и не зашифрована, размер 28672 байта. Иконка и копирайты файла поддельные для его маскировки под компонент TWAIN Windows. В случае запуска скрытно выполняет следующие операции:
1. Создает копию своего исполняемого файла в папке WINDOWS. Имя исполняемого файла соответствует имени, под которым троян бал запущен на компьютере пользователя
2. Регистрируется в автозапуске, ключ CurrentVersion\Run, параметр System
3. После запуска скрытно остается в памяти и по таймеру выполняет опрос содержимого буфера обмена. В случае обнаружения в буфере обмена номера кошелька WebMoney (текстовая строка, начинающаяся на Z, E, R, U и 12 цифр после буквы) троянская программа заменяет этот номер на номер кошелька злоумышленника. Для выполнения этой замены в теле троянской программы открытым текстом заданы соответствующие номера Z, E, R и U кошельков. Кроме того, в случае обнаружения в буфере числа, начинающегося с «4» и содержащего 13-14 знаков троянская программа заменяет его на число, заданное в программе. Несложно заметить, что подобный формат имеют номера кошельков системы "Яндекс.Деньги".
Таким образом, принцип действия троянской программы основан на том, что при совершении платежа часто номера кошельков копируются через буфер обмена и пользователь обычно не проверяет многозначный номер после его вставки. Троянская программа подменяет номер, и пользователь копирует в буфер правильный номер кошелька, а вставляет из буфера уже номер кошелька создателя троянской программы и соответственно отправляет ему деньги.

Методика защиты
Методика защиты достаточно проста - следует всегда контролировать платежные реквизиты перед совершением платежа через Интернет. Подобный контроль защитит от различных методик подделки и подмены номера кошелька в процессе его ввода или копирования через буфер обмена.

ISO
12.01.2007, 04:34
Как все просто, автор данного зловреда даже ничего не скрывает, не шифрует. Ведь как я понимаю по номеру кошелька указанному в теле зловреда можно определить и человека создавшего его и соответственно привлечь его по статьям УК РФ 272 и 273 да и в довесок 159. Совсем страх потеряли.

ХЕЛП
04.05.2007, 12:35
Мне кинули такого троянчика, каждый раз как копирую номер кошелька он заменяется на другой. Вопрос: Как избавится от этой хрени. И второе : как вычислить того, который меня хакнул ???

Rene-gad
04.05.2007, 12:40
Как избавится от этой хрени. И второе : как вычислить того, который меня хакнул ???
обязательно прочтите правила (http://virusinfo.info/showthread.php?t=1235)