Онлайн и деньги Заметки об электронных платежах

Речь идет о зловреде WM Stealer, о котором стало известно в конце прошлого года, когда на одном из форумов он был выставлен на продажу по цене $2000, на момент написания статьи за него просят уже 800$, в комлект входит сам троян (inetmib1.dll), клиент (включает конфигуратор, генератор дропера и непосредственно клиент для запуска кипера), а также панель администрирования (модифицированная панель от X-Systems). В описании говориться, что «работает он по тому же принципу, что и нашумевший WM Inside, т.е. после похищения данных активировать кипер на новом оборудовании нет необходимости — клиентская часть сэмулирует программно-аппаратное окружение. Правда, в отличие от WMInside, WM Stealer поддерживает не только старый, но и новый кипер, а так же грабит баланс (отображаются только ненулевые кошельки). Для удобства троян поддерживает отчеты WMInside. Написан на ассемблере, имеет небольшой размер и стабильно работает в системе, по завершению работы самоудаляется. Кроме этого, уточнялось, что «для успешной работы клиента (обхода активации оборудования) необходимо, чтобы IP адрес, с которого кипер был запущен в прошлый раз и ваш текущий IP адрес должны совпадать хотя бы первыми двумя числами».

На компьютере жертвы вирус «заменяет» файл динамической библиотеки inetmib1.dll, находящийся в системной папке windows/system32/ или windows/system32/dllcache (прописывает другой путь) , и сохраняет поддельный inetmib1.dll в произвольном месте. После этого при запуске клиентской программы WebMoney Keeper производится подключение уже инфицированного файла библиотеки inetmib1.dll и происходит скрытая передача данных, в том числе реквизитов, паролей и ключей владельца WebMoney-кошелька, «куда надо». Сам вирус – это файл inetmib1.dll, но такой же файл, только нужный и системный есть в Windows в папке system32 или system32/dllcache. Троян создаёт файл с таким же именем, но в другом месте, по любому другому пути, чаще всего в папке с установленным «кипером». Лечение будет простым: удаляем всякий файл inetmib1.dll, который находится вне вышеназванных директорий: C:/windows/system32 и dllcache. Кстати по завершению работы вирус самоудаляется, так что проделывать эту операцию надо постоянно (если ваш антивирус ещё не научился его распознавать). Самым радикальным решением является использование Dr.Web CureIt!

Напоминаем, что для повышения уровня безопасности (не для этого конкретного случая, а вообще) нужно как можно чаще обновлять антивирусную базу используемого антивируса и пользоваться последней и новейшей версией WebMoney кипера.