Несколько российских и украинских интернет-ресурсов со ссылками один на другой сообщили о начале эпидемии вируса, крадущего деньги с кошельков в системе WebMoney.
Речь идет о зловреде WM Stealer, о котором стало известно в конце прошлого года, когда на одном из форумов он был выставлен на продажу по цене $2000. В сопутствующем сообщении говорилось, что "работает он по тому же принципу, что и нашумевший WM Inside, т.е. после похищения данных активировать кипер на новом оборудовании нет необходимости - клиентская часть сэмулирует программно-аппаратное окружение. Правда, в отличие от WMInside, WM Stealer поддерживает не только старый, но и новый кипер, а так же грабит баланс (отображаются только ненулевые кошельки). Для удобства троян поддерживает отчеты WMInside. Написан на ассемблере, имеет небольшой размер и стабильно работает в системе, по завершению работы самоудаляется."
Кроме этого, уточнялось, что "для успешной работы клиента (обхода активации оборудования) необходимо, чтобы IP адрес, с которого кипер был запущен в прошлый раз и ваш текущий IP адрес должны совпадать хотя бы первыми двумя числами".
На компьютере жертвы зловред "заменяет" файл динамической библиотеки inetmib1.dll, находящийся в системной папке windows/system32/ или windows/system32/dllcache (прописывает другой путь) , и сохраняет поддельный inetmib1.dll в произвольном месте. После этого при запуске клиентской программы WebMoney Keeper производится подключение уже инфицированного файла библиотеки inetmib1.dll и происходит скрытая передача данных, в том числе реквизитов, паролей и ключей владельца WebMoney-кошелька, "куда надо".
Напоминаем, что для повышения уровня безопасности (не для этого конкретного случая, а вообще) нужно как можно чаще обновлять антивирусную базу используемого антивируса и пользоваться последней=новейшей версией WebMoney кипера.
Источник: news.softodrom
|