На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

AdWare/SpyWare
Backdoor
Hoax
Trojan
Trojan-Clicker
Trojan-Downloader
Trojan-Spy
Trojan-PSW
Net-Worm
Worm
Trojan-Dropper
Trojan-Proxy
Email-Worm
FraudTool
Trojan-Ransom

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)" Музыкальный проект антивирусных специалистов



Главная / Информационная безопасность / Описания вирусов / Trojan-PSW

Trojan-PSW.Win32.WebMoner.j


Rootkit:  Нет
Видимые проявления:  Посторонний процесс в памяти
Подмена номеров кошельков WebMoney и Яндекс.Деньги в буфере обмена
Синонимы:  Trojan.PWS.Webmonier (DrWEB)

Троянская программа, написана на Basic, не сжата и не зашифрована, размер 28672 байта. Иконка и копирайты файла поддельные для его маскировки под компонент TWAIN Windows. В случае запуска скрытно выполняет следующие операции:
1. Создает копию своего исполняемого файла в папке WINDOWS. Имя исполняемого файла соответствует имени, под которым троян бал запущен на компьютере пользователя
2. Регистрируется в автозапуске, ключ CurrentVersion\Run, параметр System
3. После запуска скрытно остается в памяти и по таймеру выполняет опрос содержимого буфера обмена. В случае обнаружения в буфере обмена номера кошелька WebMoney (текстовая строка, начинающаяся на Z, E, R, U и 12 цифр после буквы) троянская программа заменяет этот номер на номер кошелька злоумышленника. Для выполнения  этой замены в теле троянской программы открытым текстом заданы соответствующие номера Z, E, R и U кошельков. Кроме того, в случае обнаружения в буфере числа, начинающегося с «4» и содержащего 13-14 знаков троянская программа заменяет его на число, заданное в программе. Несложно заметить, что подобный формат имеют номера кошельков системы "Яндекс.Деньги".
Таким образом, принцип действия троянской программы основан на том, что при совершении платежа часто номера кошельков копируются через буфер обмена и пользователь обычно не проверяет многозначный номер после его вставки. Троянская программа подменяет номер, и пользователь копирует в буфер правильный номер кошелька, а вставляет из буфера уже номер кошелька создателя троянской программы и соответственно отправляет ему деньги.

Методика защиты
Методика защиты достаточно проста - следует всегда контролировать платежные реквизиты перед совершением платежа через Интернет. Подобный контроль защитит от различных методик подделки и подмены номера кошелька в процессе его ввода или копирования через буфер обмена.

Назад в раздел  





џндекс цитированиЯ
(С) Зайцев О.В.
2003-2016

При использовании любых материалов данного сайта необходимо указывать источник информации.