Pull to refresh

Предупреждение пользователям Webmoney: фишеры стали рассылать поддельную программу-клиент

Reading time 3 min
Views 2.3K
Здравствуй читатель!

Сегодня я хочу рассказать и предупредить о новом (для меня) способе отъема денег у «населения». В качестве населения в этот раз выступают пользователи довольно популярного сервиса Webmoney. Упало сегодня на почту очень забавное письмо, якобы от Webmoney:

Уважаемый участник системы WebMoney Transfer!

Система WebMoney выпустила новую версию програмы
WebMoney Keeper Classic 3.8.0.0 которая не требует
инсталляции и занимает всего 1.5mb
Эта программа находится в закрытом доступе и
отсылается на почту наших клиентов в целях безопасности.
Программа находится в этом сообщении.

Это автоматическое письмо. Если у вас есть какие-либо вопросы, Вы можете
изучить Справочную информацию: www.webmoney.ru/rus/about/demo
или отправить вопрос на адрес support@wmtransfer.com

С уважением,
Команда WEBMONEY TRANSFER


И все бы ничего, но Webmoney:

  • Не рассылает вроде как свои программы на e-mail;
  • Не опубликовало никакой информации о новой версии программ;


В тексте письма помимо прочего присутствовала еще и «англоязычная» версия сообщения, но с жуткими синтаксическими ошибками. Именно это и заставило меня заглянуть в заголовки письма, и вот что там было:

X-Kaspersky: Checking
Return-path: <mrpotolo@biz12bl.bizhosting.ru>
Received: from [82.140.91.142] (port=59507 helo=biz12bl.bizhosting.ru)
by mx43.mail.ru with esmtp
id 1Le70Z-0000iy-00
for orenlab@list.ru; Mon, 02 Mar 2009 15:12:31 +0300
Received-SPF: none (mx43.mail.ru: 82.140.91.142 is neither permitted nor denied by domain of biz12bl.bizhosting.ru) client-ip=82.140.91.142; envelope-from=mrpotolo@biz12bl.bizhosting.ru; helo=biz12bl.bizhosting.ru;
X-Mru-PTR: none
X-Mru-NR: 1
X-Mru-OF: unknown (unknown)
X-Mru-RC: RU
Received: from mrpotolo by biz12bl.bizhosting.ru with local (Exim 4.69 (FreeBSD))
(envelope-from <mrpotolo@biz12bl.bizhosting.ru>)
id 1Le70X-000Efj-36
for orenlab@list.ru; Mon, 02 Mar 2009 15:12:29 +0300
To: orenlab@list.ru
Subject: WebMoney Keeper Classic 3.8.0.0
X-PHP-Script: mrpotolok.ru/svids/svf/wmwids/mail.php for 95.84.11.76
MIME-Version: 1.0;
Content-Type: multipart/mixed; boundary="--8f71e28220cb8225029c69bbb564bc9f"
From: WebMoney<support@wmtransfer.com>
Message-Id: <E1Le70X-000Efj-36@biz12bl.bizhosting.ru>
Sender: User Mrpotolo <mrpotolo@biz12bl.bizhosting.ru>
Received: for <orenlab@pop.list.ru>
Date: Mon, 02 Mar 2009 15:12:29 +0300
X-Spam: Not detected


В общем с виду обыкновенные спам, если бы не одно но! Во вложении был исполняемый файл с именем WebMoney Keeper Classic 3.8.0.0.exe, имеющий такую же иконку, и более того, скомпилирован с той же информацией, что и настоящий:

Version language: Русский (Россия)
CompanyName: CJSC «Computing Forces»
FileDescription: WebMoney Keeper Classic Runner Module
FileVersion: 3, 6, 0, 1
InternalName: WebMoney Keeper Classic
LegalCopyright: Copyright 1998-2008 by CJSC «Computing Forces»
LegalTrademarks: WebMoney Transfer
OriginalFilename: webmoney.exe
ProductName: WebMoney Keeper Classic
ProductVersion: 3, 6, 0, 1
Comments: WebMoney. Confidence Internet Information Service Technology.

Creation Date: 02/03/2009 20:15:27
Last Modif. Date: 02/03/2009 20:15:30
Last Access Date: 02/03/2009 00:00:00
FileSize: 1586688 bytes ( 1549.500 KB, 1.513 MB )
FileVersionInfoSize: 2244 bytes
File type: Application (0x1)
Target OS: Win32 (0x4)
File/Product version: 1.0.0.0 / 1.0.0.0
Language: Русский (Россия) (0x419)
Character Set: 1251 (ANSI — Cyrillic) (0x4E3)


Запускать я его не стал, так как здравый смысл подсказывает что делать этого не стоит :). Будьте внимательны, и не стоит из-за своей невнимательности терять контроль или средства со своего кипера Webmoney.

P.S. Я, конечно же, отправил этот пример в службу безопасности Webmoney, но, полагаю, будет не лишним как можно скорее оповестить широкую аудиторию (я знаю, что на «Хабре» присутствуют не только гуру информационной безопасности)
Tags:
Hubs:
+62
Comments 38
Comments Comments 38

Articles