Доброго времени суток, Хаброчитатель!
Не так давно я писал пост об рассылке спама (и не я один предупреждения писал). Казалось, вроде бы, история закончилась… Однако, нет! И вновь ко мне пришло письмо подобного характера.
Как и стоило ожидать — практически ничего не поменялось:
Яндекс, как оказалось, решил во всем способствовать спамерам-злоумышленникам и дружелюбно сообщает, что ничего опасного там нет. Мол антивирусная программа ничего не нашла.
Однако, уже зарекомендовавший себя virustotal.com сообщает, что троян нас ждет. И уже троян то узконаправленный…
Судя по информации из сети:
Trojan-PSW.Win32.WebMoner.j
Rootkit: Нет
Видимые проявления: Посторонний процесс в памяти
Подмена номеров кошельков WebMoney и Яндекс.Деньги в буфере обмена
Синонимы: Trojan.PWS.Webmonier (DrWEB)
Троянская программа, написана на Basic, не сжата и не зашифрована, размер 28672 байта. Иконка и копирайты файла поддельные для его маскировки под компонент TWAIN Windows. В случае запуска скрытно выполняет следующие операции:
1. Создает копию своего исполняемого файла в папке WINDOWS. Имя исполняемого файла соответствует имени, под которым троян бал запущен на компьютере пользователя
2. Регистрируется в автозапуске, ключ CurrentVersion\Run, параметр System
3. После запуска скрытно остается в памяти и по таймеру выполняет опрос содержимого буфера обмена. В случае обнаружения в буфере обмена номера кошелька WebMoney (текстовая строка, начинающаяся на Z, E, R, U и 12 цифр после буквы) троянская программа заменяет этот номер на номер кошелька злоумышленника. Для выполнения этой замены в теле троянской программы открытым текстом заданы соответствующие номера Z, E, R и U кошельков. Кроме того, в случае обнаружения в буфере числа, начинающегося с «4» и содержащего 13-14 знаков троянская программа заменяет его на число, заданное в программе. Несложно заметить, что подобный формат имеют номера кошельков системы «Яндекс.Деньги».
Таким образом, принцип действия троянской программы основан на том, что при совершении платежа часто номера кошельков копируются через буфер обмена и пользователь обычно не проверяет многозначный номер после его вставки. Троянская программа подменяет номер, и пользователь копирует в буфер правильный номер кошелька, а вставляет из буфера уже номер кошелька создателя троянской программы и соответственно отправляет ему деньги.
Методика защиты
Методика защиты достаточно проста — следует всегда контролировать платежные реквизиты перед совершением платежа через Интернет. Подобный контроль защитит от различных методик подделки и подмены номера кошелька в процессе его ввода или копирования через буфер обмена.
UPD:
В Яндекс и Webmoney отправлены письма с описанием, что это такое (я про файл и его активность), и просьбой принять меры.
UPD2:
by lmaster
Исполняемый файл является дроппером (Delphi) и дропает в %TEMP% сам троян, запакованный UPX'ом, запуская его на исполнение.
Сам троян написан на Delphi, имеет вес 796 КБ.
Зловред собирает с компьютера жертвы информацию и отправляет ее на гейт:
maerb.hmsite.net/upload.php
Функционал Trojan-PSW.Win32.WebMoner.nl:
1) Программа записывает все нажатия клавиш (keylogger)
2) Зловред похищает данные для авторизации у следующих программ:
— QIP
— Mail.ru Agent
— Total Commander
— SmartFTP
— OutLook
— ICQ
— The BAT!
— WebMoney
— FireFox
— IE
— Opera
3) Все это программа отправляет на сайты: maerb.hmsite.net/upload.php
От меня: Как видно — ничего не изменилось… Все работает как и прежде. По той же схеме.
Не так давно я писал пост об рассылке спама (и не я один предупреждения писал). Казалось, вроде бы, история закончилась… Однако, нет! И вновь ко мне пришло письмо подобного характера.
Добрый день.
Веб дизайн студия «INTINITY» объявляет набор внештатных сотрудников
по специальностям:
дизайнеры, верстальщики,
переводчики иностранных языков,
копирайтеры, рерайтеры,
фотографы, художники (знание photoshop)
так же приглашаем к сотрудничеству агенства и студии
мы гарантируем достойную плату за вашу работу,
задание можно скачать тут;narod.ru/disk/17519876000/T3.rar.html
наш сайт www.intinity.org
Design Studio «INTINITY»
Как и стоило ожидать — практически ничего не поменялось:
From — Tue Feb 02 21:12:02 2010
X-Account-Key: account1
X-UIDL: 1265134310870
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-path: <spravka@intinity.org>
Received: from [206.190.52.176] (port=26921 helo=smtp107.biz.mail.re2.yahoo.com)
by mx20.mail.ru with esmtp
id 1NcNE5-000NiP-00
for XXX@mail.ru; Tue, 02 Feb 2010 21:11:49 +0300
Received-SPF: none (mx20.mail.ru: 206.190.52.176 is neither permitted nor denied by domain of intinity.org) client-ip=206.190.52.176; envelope-from=spravka@intinity.org; helo=smtp107.biz.mail.re2.yahoo.com;
X-Mru-BL: 0:4:0
X-Mru-PTR: off
X-Mru-NR: 1
X-Mru-OF: unknown (ethernet/modem)
X-Mru-RC: US
Received: (qmail 68778 invoked from network); 2 Feb 2010 18:11:47 -0000
Received: from d54C3F021.access.telenet.be (spravka@84.195.240.33 with login)
by smtp107.biz.mail.re2.yahoo.com with SMTP; 02 Feb 2010 10:11:46 -0800 PST
X-Yahoo-SMTP: OGyL7BeswBAyEJCfyh3zpU0Ux00x
X-YMail-OSG: Z2tGzJUVM1kYtCxOkf2SYY50vDvMU0C6IGaK4cVfIg_cxKJM7Hk1YGKLpn_BnIZo5WKYIk86JSB.UuZoCkugEGVeRy8CGIbg_gltmyjOgzZy5lgKdyKkqXrUQR5QcBBWfeShmMw7mMZSO8hYNZhaGCrvj_aWYFB7AJ1bJQ48NKUs_ByHw4XtN5Y9ZemsZNr0kmZ3DKuPEIFdvv6GSugwxtNbii9LkIrM1_6U0kV_JzhSnzU5odZ_ezmiJ_FAkdr18N_eKDxGB1.diT61FJz7mnxYppQeYWJtQNMwt9KB7oQU5xFn_aFYXEYQczvdRg.Al3GdHatGBxB7Rgdll5.u3PMM.YCXh9Ek.QOCmZru4JZsYE6EEUa.x1bcyxefY4_z9ZethmvaRBQ97m76C.a1tNDpp3yKegdC7RAMMEcv6xb5pTCThzzY1DaTwhhq53F8jvl0vBN.6m60GbbFJettinZ90jha2bBotn8Ny2u2qIpCudretLjemC_SqAIsBU1uGt0W5A6x
X-Yahoo-Newman-Property: ymail-3
Message-ID: <00de97b9-40211-0e898831779861@user>
Reply-To: «Studio \»INTINITY\"" <spravka@intinity.org>
From: «Studio \»INTINITY\"" <spravka@intinity.org>
To: XXXX@mail.ru
Subject: Studio «INTINITY»
Date: Tue, 2 Feb 2010 21:11:47 +0300
MIME-Version: 1.0
Content-Type: text/plain
Content-Transfer-Encoding: 8bit
X-Priority: 3
X-Mailer: Power Sending Sockets v5.1
X-Spam: Not detected
X-Mras: OK
Добрый день.
Веб дизайн студия «INTINITY» объявляет набор внештатных сотрудников
по специальностям:
дизайнеры, верстальщики,
переводчики иностранных языков,
копирайтеры, рерайтеры,
фотографы, художники (знание photoshop)
так же приглашаем к сотрудничеству агенства и студии
мы гарантируем достойную плату за вашу работу,
задание можно скачать тут;narod.ru/disk/17519876000/T3.rar.html
наш сайт www.intinity.org
Design Studio «INTINITY»
.
Яндекс, как оказалось, решил во всем способствовать спамерам-злоумышленникам и дружелюбно сообщает, что ничего опасного там нет. Мол антивирусная программа ничего не нашла.
Однако, уже зарекомендовавший себя virustotal.com сообщает, что троян нас ждет. И уже троян то узконаправленный…
Судя по информации из сети:
Trojan-PSW.Win32.WebMoner.j
Rootkit: Нет
Видимые проявления: Посторонний процесс в памяти
Подмена номеров кошельков WebMoney и Яндекс.Деньги в буфере обмена
Синонимы: Trojan.PWS.Webmonier (DrWEB)
Троянская программа, написана на Basic, не сжата и не зашифрована, размер 28672 байта. Иконка и копирайты файла поддельные для его маскировки под компонент TWAIN Windows. В случае запуска скрытно выполняет следующие операции:
1. Создает копию своего исполняемого файла в папке WINDOWS. Имя исполняемого файла соответствует имени, под которым троян бал запущен на компьютере пользователя
2. Регистрируется в автозапуске, ключ CurrentVersion\Run, параметр System
3. После запуска скрытно остается в памяти и по таймеру выполняет опрос содержимого буфера обмена. В случае обнаружения в буфере обмена номера кошелька WebMoney (текстовая строка, начинающаяся на Z, E, R, U и 12 цифр после буквы) троянская программа заменяет этот номер на номер кошелька злоумышленника. Для выполнения этой замены в теле троянской программы открытым текстом заданы соответствующие номера Z, E, R и U кошельков. Кроме того, в случае обнаружения в буфере числа, начинающегося с «4» и содержащего 13-14 знаков троянская программа заменяет его на число, заданное в программе. Несложно заметить, что подобный формат имеют номера кошельков системы «Яндекс.Деньги».
Таким образом, принцип действия троянской программы основан на том, что при совершении платежа часто номера кошельков копируются через буфер обмена и пользователь обычно не проверяет многозначный номер после его вставки. Троянская программа подменяет номер, и пользователь копирует в буфер правильный номер кошелька, а вставляет из буфера уже номер кошелька создателя троянской программы и соответственно отправляет ему деньги.
Методика защиты
Методика защиты достаточно проста — следует всегда контролировать платежные реквизиты перед совершением платежа через Интернет. Подобный контроль защитит от различных методик подделки и подмены номера кошелька в процессе его ввода или копирования через буфер обмена.
UPD:
В Яндекс и Webmoney отправлены письма с описанием, что это такое (я про файл и его активность), и просьбой принять меры.
UPD2:
by lmaster
Исполняемый файл является дроппером (Delphi) и дропает в %TEMP% сам троян, запакованный UPX'ом, запуская его на исполнение.
Сам троян написан на Delphi, имеет вес 796 КБ.
Зловред собирает с компьютера жертвы информацию и отправляет ее на гейт:
maerb.hmsite.net/upload.php
Функционал Trojan-PSW.Win32.WebMoner.nl:
1) Программа записывает все нажатия клавиш (keylogger)
2) Зловред похищает данные для авторизации у следующих программ:
— QIP
— Mail.ru Agent
— Total Commander
— SmartFTP
— OutLook
— ICQ
— The BAT!
— WebMoney
— FireFox
— IE
— Opera
3) Все это программа отправляет на сайты: maerb.hmsite.net/upload.php
От меня: Как видно — ничего не изменилось… Все работает как и прежде. По той же схеме.
