Hi-Tech

"Лаборатория Касперского" сообщает о массовой рассылки поддельных электронных открыток, содержащих троянскую программу WMpatch. Эта программа служит для похищения информации у пользователей российской платежной системы WebMoney. Письмо, предлагающее загрузить троян под видом открытки, было разослано в ночь с 4 на 5 марта. По разным оценкам, это сообщение получили от нескольких сотен тысяч до миллиона адресатов. Не стал исключением и почтовый ящик "Компьюленты".

Вычислить поддельные открытки можно следующим образом. Все письма с трояном (см. скриншот) были разосланы с адреса [email protected] с темой "Вам пришла открытка!" и содержали следующий текст:

Вам пришла открытка! Вы можете получить ее, щелкнув по ссылке: http://www.yahoo-greeting-cards.com/***********/viewcard_680fe23d52.asp.scr Открытка доступна для просмотра в течение двух месяцев. ____________________________________________________ Любимые открытки на http://www.yahoo-greeting-cards.com

Hello! You've got a postcard! To view this postcard, click on the link: http://www.yahoo-greeting-cards.com/***********/viewcard_680fe23d52.asp.scr You will be able to see it at anytime within the next 60 days. ____________________________________________________ Favorite postcards on http://www.yahoo-greeting-cards.com

При посещении указанного в письме адреса пользователю предлагается скачать файл viewcard_680fe23d52.asp.scr и запустить его, якобы для просмотра открытки. Двойное расширение призвано скрыть истинную природу файла от пользователей, на компьютерах которых отключен показ расширений файлов зарегистрированных типов. В этом случае пользователь увидит расширение .asp, которое имеют многие документы в интернете, ничего не заподозрит и откроет файл.

Но вместо показа открытки, при открытии файла запустится программа WMpatch, которая после активизации загружает на пораженный компьютер с того же самого сайта (естественно, не имеющего никакого отношения к порталу Yahoo) еще два компонента трояна. Первый из них, dbole.exe, модифицирует системный файл wmclient.dll для перехвата финансовых транзакций по системе WebMoney. Второй компонент sickboy.exe обеспечивает пересылку перехваченных данных на анонимный адрес чешского почтового сервера общего доступа. Таким образом, пользователи WebMoney, подвергшиеся атаке, рискуют лишиться всех средств на своих персональных счетах этой платежной системы.

По словам руководителя информационной службы "Лаборатории Касперского" Дениса Зенкина, инцидент произошел накануне 8 марта неслучайно. "Тонкий расчет вирусописателей сделан на доверчивость пользователей в преддверии женского праздника, во время которого резко возрастает количество пересылаемых поздравительных открыток, и следовательно, снижается бдительность", - добавил Зенкин.

Письмо с предложением скачать троян под видом открытки