Новый троянец грабит пользователей WebMoney

Author:

Алексей Рерих

В среду обнаружена новая троянская программа KWM, специализирующаяся на пользователях сетевой платежной системы WebMoney.

Как сообщает “Лаборатория Касперского” троянец имеет довольно сложную систему проникновения на компьютер пользователя. Для начала незадачливому пользователю предлагается скачать из Интернета какой-нибудь безобидный с виду файл. Например, файл Photo.scr, который после скачивания открывается как картинка, или файл Sponsors_pay_WM.exe, представляемый как продукт “Billing Systems”. Названия файлов могут меняться. Указанные файлы являются одновременно программами-инсталяторами самого троянца – так называемыми “дропперами”.

Проникая в систему, троянская программа netcfgh.exe, работающая в среде Win32, регистрируется в файле system.ini, что позволяет ей запускаться при каждом перезапуске Windows и разрешает модему авто-набор.

Через некоторое время троянец создает в системе “черный ход”. Эта процедура затем связывается с ftp-севером по адресу ftp://ftp.bizland.com и скачивает оттуда дополнительные компоненты – программы heak.exe, teen1.exe и другие, которые выполняют в зараженной системе самые различные функции – например,
мониторят нажатие клавиш, отслеживая таким образом логины и пароли пользователя, архивируют необходимые данные и так далее.

Кроме того, вредоносная программа инсталлирует скрипт, который позволяет удаленно скачивать с зараженного компьютера файлы, выкладывать файлы на компьютер, запускать исполняемые приложения, перемещать и удалять файлы на зараженном компьютере и, самое главное, передавать “хозяину” троянца необходимые данные.

Троянец также сканирует систему в поисках каталогов пользователя платежной системы WebMoney. Их названия затем передаются “хозяину” троянца, который может использовать полученные данные, например, для перевода денег с пользовательских счетов на свои.

ССЫЛКИ ПО ТЕМЕ


WebMoney

“Лаборатория Касперского”

Backdoor.KWM – “Вирусная Энциклопедия”

Пользователи WebMoney снова в “группе риска” – “Лаборатория Касперского”, 17.10.01