Здравствуй читатель!
Сегодня я хочу рассказать и предупредить о новом (для меня) способе отъема денег у «населения». В качестве населения в этот раз выступают пользователи довольно популярного сервиса Webmoney. Упало сегодня на почту очень забавное письмо, якобы от Webmoney:
И все бы ничего, но Webmoney:
В тексте письма помимо прочего присутствовала еще и «англоязычная» версия сообщения, но с жуткими синтаксическими ошибками. Именно это и заставило меня заглянуть в заголовки письма, и вот что там было:
В общем с виду обыкновенные спам, если бы не одно но! Во вложении был исполняемый файл с именем WebMoney Keeper Classic 3.8.0.0.exe, имеющий такую же иконку, и более того, скомпилирован с той же информацией, что и настоящий:
Запускать я его не стал, так как здравый смысл подсказывает что делать этого не стоит :). Будьте внимательны, и не стоит из-за своей невнимательности терять контроль или средства со своего кипера Webmoney.
P.S. Я, конечно же, отправил этот пример в службу безопасности Webmoney, но, полагаю, будет не лишним как можно скорее оповестить широкую аудиторию (я знаю, что на «Хабре» присутствуют не только гуру информационной безопасности)
Сегодня я хочу рассказать и предупредить о новом (для меня) способе отъема денег у «населения». В качестве населения в этот раз выступают пользователи довольно популярного сервиса Webmoney. Упало сегодня на почту очень забавное письмо, якобы от Webmoney:
Уважаемый участник системы WebMoney Transfer!
Система WebMoney выпустила новую версию програмы
WebMoney Keeper Classic 3.8.0.0 которая не требует
инсталляции и занимает всего 1.5mb
Эта программа находится в закрытом доступе и
отсылается на почту наших клиентов в целях безопасности.
Программа находится в этом сообщении.
Это автоматическое письмо. Если у вас есть какие-либо вопросы, Вы можете
изучить Справочную информацию: www.webmoney.ru/rus/about/demo
или отправить вопрос на адрес support@wmtransfer.com
С уважением,
Команда WEBMONEY TRANSFER
И все бы ничего, но Webmoney:
- Не рассылает вроде как свои программы на e-mail;
- Не опубликовало никакой информации о новой версии программ;
В тексте письма помимо прочего присутствовала еще и «англоязычная» версия сообщения, но с жуткими синтаксическими ошибками. Именно это и заставило меня заглянуть в заголовки письма, и вот что там было:
X-Kaspersky: Checking
Return-path: <mrpotolo@biz12bl.bizhosting.ru>
Received: from [82.140.91.142] (port=59507 helo=biz12bl.bizhosting.ru)
by mx43.mail.ru with esmtp
id 1Le70Z-0000iy-00
for orenlab@list.ru; Mon, 02 Mar 2009 15:12:31 +0300
Received-SPF: none (mx43.mail.ru: 82.140.91.142 is neither permitted nor denied by domain of biz12bl.bizhosting.ru) client-ip=82.140.91.142; envelope-from=mrpotolo@biz12bl.bizhosting.ru; helo=biz12bl.bizhosting.ru;
X-Mru-PTR: none
X-Mru-NR: 1
X-Mru-OF: unknown (unknown)
X-Mru-RC: RU
Received: from mrpotolo by biz12bl.bizhosting.ru with local (Exim 4.69 (FreeBSD))
(envelope-from <mrpotolo@biz12bl.bizhosting.ru>)
id 1Le70X-000Efj-36
for orenlab@list.ru; Mon, 02 Mar 2009 15:12:29 +0300
To: orenlab@list.ru
Subject: WebMoney Keeper Classic 3.8.0.0
X-PHP-Script: mrpotolok.ru/svids/svf/wmwids/mail.php for 95.84.11.76
MIME-Version: 1.0;
Content-Type: multipart/mixed; boundary="--8f71e28220cb8225029c69bbb564bc9f"
From: WebMoney<support@wmtransfer.com>
Message-Id: <E1Le70X-000Efj-36@biz12bl.bizhosting.ru>
Sender: User Mrpotolo <mrpotolo@biz12bl.bizhosting.ru>
Received: for <orenlab@pop.list.ru>
Date: Mon, 02 Mar 2009 15:12:29 +0300
X-Spam: Not detected
В общем с виду обыкновенные спам, если бы не одно но! Во вложении был исполняемый файл с именем WebMoney Keeper Classic 3.8.0.0.exe, имеющий такую же иконку, и более того, скомпилирован с той же информацией, что и настоящий:
Version language: Русский (Россия)
CompanyName: CJSC «Computing Forces»
FileDescription: WebMoney Keeper Classic Runner Module
FileVersion: 3, 6, 0, 1
InternalName: WebMoney Keeper Classic
LegalCopyright: Copyright 1998-2008 by CJSC «Computing Forces»
LegalTrademarks: WebMoney Transfer
OriginalFilename: webmoney.exe
ProductName: WebMoney Keeper Classic
ProductVersion: 3, 6, 0, 1
Comments: WebMoney. Confidence Internet Information Service Technology.
Creation Date: 02/03/2009 20:15:27
Last Modif. Date: 02/03/2009 20:15:30
Last Access Date: 02/03/2009 00:00:00
FileSize: 1586688 bytes ( 1549.500 KB, 1.513 MB )
FileVersionInfoSize: 2244 bytes
File type: Application (0x1)
Target OS: Win32 (0x4)
File/Product version: 1.0.0.0 / 1.0.0.0
Language: Русский (Россия) (0x419)
Character Set: 1251 (ANSI — Cyrillic) (0x4E3)
Запускать я его не стал, так как здравый смысл подсказывает что делать этого не стоит :). Будьте внимательны, и не стоит из-за своей невнимательности терять контроль или средства со своего кипера Webmoney.
P.S. Я, конечно же, отправил этот пример в службу безопасности Webmoney, но, полагаю, будет не лишним как можно скорее оповестить широкую аудиторию (я знаю, что на «Хабре» присутствуют не только гуру информационной безопасности)