"На данный момент мы не получили сообщений о случаях проникновения "Eurosol" на компьютеры пользователей. Однако, анализ FTP-сервера, куда пересылается похищенная информация, позволяет говорить, что уже более 300 пользователей имеют реальные шансы в ближайшее время обнаружить свои счета в WebMoney пустыми, - комментирует Денис Зенкин, руководитель информационной службы "Лаборатории Касперского", - это говорит о том, что на многих компьютерах "троянец" до сих пор остается незамеченным". "Лаборатория Касперского" уже предприняла все необходимые меры, чтобы предотвратить эту финансовую аферу и закрыла все используемые "Eurosol" серверы. "Eurosol" мастерски замаскирован под программу CC-Bank, позволяющей, якобы, получить деньги за просмотр рекламных модулей. Для этого пользователь просматривает 15 баннеров, после чего CC-Bank, как-будто, выдает номер реальной кредитной карточки, с определенной суммой на счету, при помощи которой можно свободно совершать покупки. Разумеется, что эта легенда является всего лишь ширмой, прикрывающей настоящую сущность "троянской" программы. После запуска CC-Bank "Eurosol" внедряется на компьютер и сканирует содержимое установленных жестких дисков в поиске ключевых файлов от клиентской программы системы WebMoney Transfer. Для получения сведений о личном счете жертвы в системе WebMoney "Eurosol" находит файлы Keys.kwm (секретный ключ) и Purses.kwm (виртуальный "кошелек"). В случае успешного поиска файлы шифруются и отсылаются на удаленный FTP-сервер. Для обеспечения успешной передачи информации "троянская" программа нейтрализует установленный на компьютере персональный межсетевой экран ATGuard. Для этого "Eurosol" модифицирует его настройки так, чтобы ATGuard не реагировал на установление TCP/IP соединения с внешними серверами. В дальнейшем злоумышленник может получить украденные "кошельки" и ключи к ним с этого FTP-сервера и подключить их к своей копии программы WebMoney. После этого он может перевести имеющиеся в "кошельках" деньги на свой банковский счет, или получить наличные почтовым переводом на свое имя. Процедуры защиты от "Eurosol" уже добавлены в ежедневное обновление антивирусной базы Антивируса КасперскогоT. Для обнаружения "троянской" программы мы рекомендуем пользователям провести полное сканирование содержимого жестких дисков. Источник: Журнал "Компьютерра" |