Злоумышленники решили не упускать возможность нажиться на праздновании 8 Марта. На этой неделе наряду с настоящими открытками, пользователи Рунета начали получать письма, в которых за поздравлением прячется троянская программа Wmpatch, которая похищает информацию у пользователей российской платежной системы WebMoney. По данным «Лаборатория Касперского» в ночь с 4-го на 5-е марта вредоносное сообщение получили от нескольких сотен тысяч до миллиона адресатов.
По данным «Лаборатории Касперского», вредоносные письма были разосланы с адреса greeting_cards@yahoo.com и выглядели следующим образом:
Тема: Вам пришла открытка!
Текст:
Вам пришла открытка! Вы можете получить ее, щелкнув по ссылке:
http://www.yahoo-greeting-cards.com/***********/viewcard_680fe23d52.asp.scr
Открытка доступна для просмотра в течение двух месяцев.
———————————————————————————
Любимые открытки на http://www.yahoo-greeting-cards.com
Hello!
You’ve got a postcard! To view this postcard, click on the link:
http://www.yahoo-greeting-cards.com/***********/viewcard_680fe23d52.asp.scr
You will be able to see it at anytime within the next 60 days.
———————————————————————————
Favorite postcards on http://www.yahoo-greeting-cards.com
При посещении указанного в письме адреса пользователю предлагается скачать файл «viewcard_680fe23d52.asp.scr» и запустить его для просмотра открытки. В действительности файл является троянской программой WMpatch, которая после активизации «дотаскивает» на пораженный компьютер с того же сайта две дополнительные компоненты «троянца». Одна из них (файл DBOLE.EXE) модифицирует файл WMCLIENT.DLL для перехвата финансовых транзакций по системе WebMoney. Другая (SICKBOY.EXE) обеспечивает пересылку перехваченных данных на анонимный адрес чешского общедоступного почтового сервера. В результате пользователи WebMoney, подвергшиеся атаке WMpatch рискуют лишиться всех средств на своих персональных счетах этой платежной системы.
WebMoney является одной из самых популярных российских платежных систем, позволяющих пользователям осуществлять покупки через интернет. Популярность WebMoney привлекает внимание злоумышленников, время от времени пытающихся обокрасть пользователей системы. За последние полтора года было обнаружено более 20 разнообразных вредоносных программ, нацеленных на похищение средств у участников WebMoney.
«Лаборатория Касперского» не исключает, что «троянец» WMpatch — лишь «первая ласточка», и в ближайшие дни будут предприниматься и другие попытки замаскировать вирусы под письма на праздничную тему.