категории | RSS

Внимание всем, кто польузется Webmoney. В Сети появился хитрый троян, который ворует деньги ( переводит деньги на другой кипер).
подробности далее...

Этот вирус опасен для тех пользователей, которые пользуются программой WebMoney Keeper Classic. Причем независимо от версии данной программы. В общем случае у компании WebMoney очень неплохая система защиты, которая обеспечивается связкой «пароль + файлы ключей», и если даже злоумышленник сможет, каким-то образом, узнать пароль доступа к кошельку, все равно без файла ключей распоряжаться кошельком будет невозможно.

В случае заражения компьютера вирусом inetmib1.dll, злоумышленник получает доступ не только к паролю, но и к файлу ключей. Таким образом, хакер получает полный доступ к хранящимся в ваших кошельках средствах.

Это вирус очень опасен тем, что его практически не определяют антивирусные программы. Лучшим методом защиты от этого вируса будет установленный и правильно настроенный firewall. Так как при попытке вируса отправить куда-либо ваши данные – защита обязательно сообщит об этом.

Наличие вируса можно определить следующим фактом: наличие фала inetmib1.dll в папке где установлен ваш WebMoney Keeper Classic. Если вы обнаружили такой файл у себя то ни в коем случае не запускайте Keeper. Лечение можно произвести вручную, просто удалив эту копию файла. После удаления можно будет работать с WebMoney в штатном режиме. Так же после вирусной атаки настоятельно рекомендуется сменить пароли и файлы ключей.

Сам троян - это файл inetmib1.dll

Данный файл есть в Windows по пути C:/windows/system32 и C:/windows/system32/dllcache. (Это системный нормальный файл)
Но троян создает файл с таким же именем по другому любому пути.

Как лечим:
Удаляем любой файл - inetmib1.dll находящейся вне директории C:/windows/system32 и dllcache, и делаем reboot компьютера.
На данный момент он ловится Касперским и Авирой. Доктор Web - его не видит.. NOD32 - тоже (у меня стоит и не обнаружил его. Тимсон19)

файл inetmib1.dll - это нормальный модуль винды, используется много где для работы с сетью, это вообще часть SNMP
функции этого виндо-модуля используется разработчиками для работы с сетью, а вот из-за несовершенство мелкомягких, ситуация когда софт пытается подгрузить библиотеку, винда выдает ему первый найденный вариант, какраз для этого ЛОЖНЫЙ файлик с этим именем кладется прямо в папочку программы, т.к. это первое место поиска для библиотек
а тот что в system32 - 99,9% - нормальный, нужный файл, не трожте его, не будьте нубами.

Троян действительно ворует бабки (пишу статью не для репутации), я сам стал жертвой.

P.S. Если это троян, то он находится именно в папке Webmoney!!!



Источник новости:

DimonVideo
2010-01-24T17:35:06Z
Здесь находятся
всего 0. За сутки здесь было 0 человек

Комментарии 7

#7   Vladislavs    

А про ENUM авторизацию что то никто ни слова не сказал. При такой авторизации не страшны никакие вирусы и трояны так как вход осуществляется с помощью сгенерированного клиентом числа-вопроса и сгенерированного ява-приложением в телефоне числа ответа. Украсть такой алгоритм шифрования вирус не сможет, т.к. он находится всегда отдельно от компа.


0 ответить

#7   тимсон19    

Цитата: Gepar
вы говорите что у вас украли денюжку, но неужели вы не пользуетесь ещё одним способом защиты - невозможностью сделать перевод с нового ip без ввода пароля, который тут же приходит на электронную почту ?

Пользуюсь активацией по ай-пи но в этом то самое интересное, что на майл письмо не приходило. Мало того, из тех у кого были украдены деньги данным способом, была установлена блокировка по ай-пи. Так что можно много говорить, что вирус существует давно и информация старая, но модифицируется он видимо довольно часто, если его антивирусы нормально не обнаруживают. И деньги он ворует с достаточным успехом.


* редактировал(а) тимсон19 23:47 25 янв 2010

0 ответить

#7   Gepar    

Деньги с вебманей воровали и раньше, ничего нового этот вирус не принёс да и существует он давно .

тимсон19
а вот из-за несовершенство мелкомягких

Это не совсем так, это вынужденный шаг, иначе бы можно было пользоваться лишь системными библиотеками винды .
тимсон19, вы говорите что у вас украли денюжку, но неужели вы не пользуетесь ещё одним способом защиты - невозможностью сделать перевод с нового ip без ввода пароля, который тут же приходит на электронную почту ?


0 ответить

#7   тимсон19    

Может и старая, но я попался несколько дней назад. И не я один, начиная с 20 января я столкнулся с трояном уже несколько раз. Среди моих знакомых тоже есть жертвы. У этого вообще беда Смотреть. У меня с таким же примечанием увели.
-------------
Добавлено в 21.50: Sputnik6 В шапке взгляни под *синенькими букавками, когда на них наводишь курсор они становятся подчеркнутыми*


* редактировал(а) тимсон19 21:51 24 янв 2010

0 ответить

#7   Sputnik6    

надо указывать источник данной инфы!


0 ответить

#7   Djavol1986    

информация старая! даже по тв предупреждали год или пол года назад! ну вот за инфу как лечить спасибо!


0 ответить

#7   тимсон19    

Признаюсь, я сначала удалил его из system32 laughing


0 ответить

Яндекс.Метрика