Webmoney - гроші не туди
Наш красень - вірус Trojan-PSW.Win32.WebMoner.
Блін, все геніальне - просто. Простий вірус. Висить в пам'яті. Підміняє в буфері обміну ваш гаманець на свій. Webmoney і Яндекс-гроші. Все просто)
Trojan-PSW.Win32.WebMoner.j
Rootkit: Немає
Видимі прояви: Сторонній процес в пам'яті
Підміна номерів гаманців WebMoney і Яндекс.Деньги в буфері обміну
Синоніми: Trojan.PWS.Webmonier (DrWEB)
Як написано на сайті "Інформаційна безпека":
"Троянська програма, написана на Basic, що не стиснута і не зашифрована, розмір 28672 байта. Іконка і копірайти файлу підроблені для його маскування під компонент TWAIN Windows. У разі запуску скритно виконує наступні операції:
1. Створює копію свого виконуваного файлу в папці WINDOWS. Ім'я виконуваного файлу відповідає імені, під яким троян був запущений на комп'ютері користувача
2. Реєструється в автозапуску, ключ CurrentVersionRun, параметр System
3. Після запуску скритно залишається в пам'яті і за таймером виконує опитування вмісту буфера обміну. У разі виявлення в буфері обміну номера гаманця WebMoney (текстова рядок, що починається на Z, E, R, U і 12 цифр після літери) троянська програма замінює цей номер на номер гаманця зловмисника. Для виконання цієї заміни в тілі троянської програми відкритим текстом задані відповідні номери Z, E, R і U гаманців. Крім того, у разі виявлення в буфері числа, що починається з «4» і містить 13-14 знаків троянська програма замінює його на число, задане в програмі. Нескладно помітити, що подібний формат мають номери гаманців системи «Яндекс.Деньги».
Таким чином, принцип дії троянської програми заснований на тому, що при здійсненні платежу часто номера гаманців копіюються через буфер обміну і користувач зазвичай не перевіряє багатозначний номер після його вставки. Троянська програма підміняє номер, і користувач копіює в буфер правильний номер гаманця, а вставляє з буфера вже номер гаманця творця троянської програми і відповідно відправляє йому гроші."
А тепер прикольна картина. Не вірус, в чистому вигляді, як такої, так, шкідлива прога.
* Свого механізму розмноження немає. Та він і не потрібен. WinLock довів ефектівность соціальної інженерії.
* Сам механізм впливу взагалі прикол - яка проактивний захист моніторить доступ до буфера обміну? В основному то реєстр, клавіатурні перехоплювачі і поведінковий аналіз. Ну клітина максимум.
* От за що можна зачепитися - це за механізм автозапуску. Треба ж висіти в пам'яті і моніторити процеси / буфер обміну. Ну так клеїмо exe до чого завгодно, хоч збірка Пунт, що хоч збірка вінди, хоч ще щось. Законна інсталяція, законна запис до реєстру. Проактівка лайнувся? Ну так вона завжди так на софт репетує, подумаєш. Або підемо далі - впишемо себе в планувальник завдань - юзверя ж сидить з правами адміна, так що це проблем не представляє.
Шкідлива програма, призначена для крадіжки конфіденційної інформації від фінансової системи WebMoney.
Шкідлива програма, призначена для крадіжки користувальницьких акаунтів (логін і пароль) з уражених комп'ютерів. Назва PSW походить від Password-Stealing-Ware.
При запуску PSW-троянці шукають необхідну їм інформацію сіcтемних файли, що зберігають різну конфіденційну інформацію або реєстрі. У разі успішного пошуку програма відсилає знайдені дані «хазяїну». Для передачі даних можуть бути використані електронна пошта, FTP, HTTP (за допомогою вказівки даних в запиті) та інші способи.
Деякі троянці даного типу крадуть реєстраційну інформацію до різного програмного забезпечення.
Примітка: Trojan-PSW, що займаються крадіжкою банківських аккаунтів, акаунтів до інтернет-пейджерам, а також акаунтів до комп'ютерних ігор ставляться до Trojan-Banker, Trojan-IM і Trojan-GameThief відповідно. В окремі типи дані шкідливі програми виділені в силу їх численності.
Інсталяція
При запуску програма витягує з себе і копіює в системний каталог Windows вредононий файл:
% System% msvcrt57.dll
Для автоматичного запуску при відкритті користувачем будь-якого файлу на комп'ютері програма створює наступні ключі реєстру:
[HKLMSOFTWAREClasses * shellexContextMenuHandlers {E6FB5E20-DE35-11CF-9C87-00AA005127ED}] [HKEY_LOCAL_MACHINESOFTWAREClassesCLSID {E6FB5E20-DE35-11CF-9C87-00AA005127ED} InProcServer32] @ ="D: WINDOWS system32 msvcrt57.dll"
Деструктивна активність
Програма перехоплює логіни і паролі програми WebMoney. У разі успішного перехоплення, програма викачує інтернет сторінку https://www.icq.com/people/full_details_show.php?uin=***2462, на якій вказані дані одного з користувачів програми icq.
Далі програма розшифровує отримані дані і витягує з них наступну інформацію:
* Адреса інтернет сторінки, на яку програма повинна відправити викрадені дані.
* Адреса файлу в интеренете, який програма згодом повинна завантажити і запустити.
Після цього програма відправляє викрадені дані на отриманий адресу і викачує і запускає файл за отриманим адресою
.
На момент складання опису на зазначеній вище сторінці в зашифрованому вигляді знаходилися наступні адреси:
http: //nunu***.biz/1/1.php? - Адреса для відправки викраденої інформації. http: //91.213.174.***/files/emo10.exe - адресу файлу для завантаження і запуску.
Рекомендації з видалення
Якщо Ваш комп'ютер не був захищений антивірусом і виявився заражений даної шкідливою програмою, то для її видалення необхідно виконати наступні дії:
1. Видалити наступні значення ключів системного реєстру:
[HKLMSOFTWAREClasses * shellexContextMenuHandlers {E6FB5E20-DE35-11CF-9C87-00AA005127ED}] [HKEY_LOCAL_MACHINESOFTWAREClassesCLSID {E6FB5E20-DE35-11CF-9C87-00AA005127ED} InProcServer32] @ ="D: WINDOWS system32 msvcrt57.dll"
2. Перезавантажити комп'ютер.
3. Видалити файл, створений троянцем:
% System% msvcrt57.dll