В ночь с 4 на 5 марта многим пользователям Интернета были разосланы поздравительные открытки, содержащие троянскую шпионскую программу Wmpatch. Эта программа похищает информацию у пользователей российской платежной системы WebMoney. По сведениям "Лаборатории Касперского", опасное послание получили от нескольких сотен тысяч до миллиона адресатов.
Послания с троянской программой были отправлены с адреса greeting_cards@yahoo.com. В поле "Тема письма" были вписаны слова "Вам пришла открытка!". Текст "поздравления" гласил следующее:
"Вам пришла открытка! Вы можете получить ее, щелкнув по ссылке: http://www.yahoo-greeting-cards.com/***********/viewcard_680fe23d52.asp.scr
Открытка доступна для просмотра в течение двух месяцев.
_______________________________________
Любимые открытки на http://www.yahoo-greeting-cards.com
Hello!
You've got a postcard! To view this postcard, click on the link: http://www.yahoo-greeting
-cards.com/***********/viewcard_680fe23d52.asp.scr
You will be able to see it at anytime within the next 60 days.
______________________________________
Favorite postcards on http://www.yahoo-greeting-cards.com"
При посещении указанного в письме адреса пользователю предлагается скачать файл "viewcard_680fe23d52.asp.scr" и запустить его для просмотра открытки. В действительности файл является троянской программой WMpatch, которая после активизации скачивает на атакуемый компьютер с того же сайта две дополнительные компоненты "троянца". Одна из них (файл DBOLE.EXE) модифицирует файл WMCLIENT.DLL для перехвата финансовых транзакций по системе WebMoney. Другая (SICKBOY.EXE) обеспечивает пересылку перехваченных данных на анонимный адрес чешского общедоступного почтового сервера. В результате пользователи WebMoney, подвергшиеся атаке Wmpatch, рискуют лишиться всех средств на своих персональных счетах этой платежной системы.
Сегодня WebMoney (www.webmoney.ru) является одной из самых популярных российских платежных систем, позволяющей пользователям осуществлять покупки напрямую через Интернет. Из-за этой популярности WebMoney часто привлекает внимание преступников. За последние полтора года было обнаружено более 20 разнообразные вредоносных программ, нацеленных на похищение средств у участников WebMoney.
"Не случайно, что этот инцидент произошел накануне 8 марта. Тонкий расчет вирусописателей сделан на доверчивость пользователей в преддверии женского праздника, во время которого резко возрастает количество пересылаемых поздравительных открыток и, следовательно, снижается бдительность. Не исключено, что это лишь "первая ласточка", и в ближайшие дни будут предприняты другие попытки замаскировать вирусы под письма на праздничную тематику. В этой связи мы рекомендуем пользователям быть максимально осмотрительными и проверять все поступающие файлы антивирусной программой", - прокомментировал ситуацию руководитель информационной службы "Лаборатории Касперского" Денис Зенкин.