"Лаборатория Касперского", сообщает об обнаружении новой троянской программы
"KWM", которая позволяет злоумышленникам незаметно управлять зараженными
компьютерами и получать доступ к личным счетам пользователей платежной системы
WebMoney.
Схема проникновения "KWM" на компьютер достаточно сложна. Прежде всего,
пользователь, привлеченный привлекательным описанием, должен загрузить с
Web-сайта файл-носитель троянской программы ("дроппер") и запустить его на
выполнение. На данный момент обнаружено две версии "дроппера", которые были
распространены на многих публичных Web-сайтах в следующих файлах: PHOTO.SCR (66
Кб) и Sponsors_pay_WM.EXE (70 Кб) (имена файлов могут меняться).
После запуска "дроппер" действительно показывает фотографию незнакомки или
договор на оказание услуг. Одновременно, незаметно для пользователя, с
удаленного Web-сайта на компьютер загружается и устанавливается сама троянская
программа. Она позволяет злоумышленникам производить любые файловые операции
(запуск, удаление, передача через Интернет и др.), похищать личную информацию,
пароли доступа.
Необходимо особо подчеркнуть, что "KWM" специально ищет на дисках служебные
файлы платежной системы WebMoney и отправляет их на удаленный FTP-сайт.
Одновременно, "троянец" устанавливает на зараженный компьютер "клавиатурного
жучка", который незаметно считывает все вводимые пользователем символы. Таким
образом, злоумышленники могут получить пароли доступа к служебным файлам
WebMoney и, в обход криптографической защиты, узнать их содержимое. В
результате, владелец компьютера вскоре может обнаружить пропажу кредита с его
личного счета этой платежной системы.
"KWM" стал очередной вредоносной программой, уделявшей особое внимание WebMoney.
"Первенцем" был Eurosol, который был обнаружен 18 мая 2001 г. Не исключено, что
авторство обоих принадлежит перу одного и того же создателя вирусов.
Во избежание случаев заражения "KWM" "Лаборатория Касперского" еще раз
напоминает пользователям о необходимости особо осторожно относиться к
загружаемым из Интернет файлам и ни в коем случае не запускать их без проверки
антивирусной программой.
Процедуры защиты от данной вредоносной программы уже внесены в очередное
ежедневное обновление базы данных "Антивируса Касперского". Более подробное
описание "KWM" доступно в "Вирусной Энциклопедии Касперского".
Гравитация научных фактов сильнее, чем вы думаете