US MGAПлатежные системыE-Gold → Обзор вирусов, представляющих угрозу для счетов платежной системы e-gold

Обзор вирусов, представляющих угрозу для счетов платежной системы e-gold

e gold

Нередки случаи кражи средств с e-gold счетов, при этом часто начинающие пользователи приписывают вирусам совсем уж необычные свойства. В этом обзоре я попытался собрать известные вирусы (по данным лаборатории Касперского), которые были уличены в краже данных e-gold счетов в 2004-2006 годах, и рассмотреть принципы их действия (и соответственно защиты).

Название вирусов приведено в соответствии с классификацией лаборатории Касперского, для вирусов указаны даты их описания в каталоге.

Семейство Email-Worm.Win32.Mimail (Email-Worm.Win32.Mimail.a, Email-Worm.Win32.Mimail.p, Email-Worm.Win32.Mimail.q и некоторые другие его представители) - вирус-червь, распространяется через интернет в виде файлов, прикрепленных к зараженным письмам. При запуске червь выводит на экран диалоговые окна, в которых просит указать данные кредитной карточки PayPal. Введенные данные сохраняются в файле "с:tmpny3.txt", который затем отсылается злоумышленнику. Аналогично версиям Mimail.a, Mimail.b и Mimail.c, червь обладает функцией кражи информации пользователей платежной системы e-gold. Mimail.c следит за активностью приложений управления аккаунтами платежной системы "e-gold" (http://www.e-gold.com, http://e-gold.metal-index.ru). В случае обнаружения такого приложения червь считывает из приложения некоторые данные, которые записывает в файл c:tmpe.tmp. Этот файл затем отсылается на четыре адреса электронной почты, принадлежащие автору червя.

Trojan-Spy.Win32.Banker.s (21 декабря 2005) - троянская программа-шпион, предназначенная для кражи различной конфиденциальной информации. Является приложением Windows. TrojanSpy.Win32.Banker.s собирает нажатия клавиш в окнах, заголовки которых содержат из следующего списка, в числе которых есть и e-gold Account.

Trojan-Spy.Win32.Banker.asq (30 ноября 2006) - троянская программа, которая похищает конфиденциальную информацию пользователя при посещении некоторых интернет-сайтов. Для веб-страниц сайтов с адресами, содержащими заданные строки (в т.ч. .e-gold.com), получает значения текстовых полей (AccountID, PassPhrase) и отправляет на сайт злоумышленников.

Trojan-Spy.Win32.Banker.z (08 ноября 2006), Trojan-Spy.Win32.Banker.ae (31 октября 2006) - троянские программы-шпионы, предназначена для кражи различной конфиденциальной информации. Перехватывают ввод символов с клавиатуры. При загрузке библиотека HookerDll.Dll устанавливает перехватчики событий от мыши и клавиатуры, с помощью которых троянец следит за клавиатурным вводом в окнах, которые в заголовках содержат следующие строки, в числе которых "e-gold Account Access". Собранную информацию с клавиатурным вводом пользователя троянец сохраняет в следующем файле: %WinDir%krk.txt. И отправляет на электронную почту злоумышленнику: netbank***@mailgate.ru

Trojan-Spy.Win32.Banker.a (15 июня 2005) - троянская программа-шпион, собирает нажатия клавиш в окнах, заголовки которых содержат любое слово из списка, в числе которых и e-gold. Сохраняет их в файл kgn.txt в директории Windows. Время от времени отсылает лог-файл на e-mail pentasatan@mail.ru.

Семейство Trojan-Spy.Win32.Goldun (Trojan-Spy.Win32.Goldun.gu - 24 января 2006, Trojan-Spy.Win32.Goldun.a и другие) - троянецы являются приложением Windows. Trojan-Spy.Win32.Goldun.gu пытается воровать логины, пароли и прочую информацию об аккаунтах системы e-gold.

Worm.Win32.Bizex (24 февраля 2004) - вирус-червь, распространяющийся через интернет при помощи интернет-пейджера ICQ. Червь рассылает пользователям ICQ сообщения с URL указывающими на файл, содержащий процедуры автоматической загрузки и исполнения на компьютере пользователя вредоносных компонентов. Червь обладает функцией кражи конфиденциальной информации различных банковских служб, в том числе e-gold Account Access.

Trojan.Win32.Small.q (05 апреля 2004) - троянская программа-шпион, ворующая данные пользователя при работе с системами электронных платежей. Троянец создает в каталоге Windows файл krk.txt и записывает в него коды нажимаемых пользователем клавиш. Данный перехват активизируется троянцем только в тех случаях, если в заголовке окна обнаружена какая-либо из строк из списка, в числе которых и e-gold Account Access.

Trojan-Spy.Win32.KeyLogger.aa (05 февраля 2004) - троянец, с функцией клавиатурного шпиона, предназначенный для кражи информации пользователей различных систем онлайновых платежей. Троянец контролирует запущенные приложения и если обнаруживает в одном из них строку из списка, числе которых и e-gold, то начинает запись вводимой с клавиатуры информации в файл "kgn.txt". В дальнейшем данный файл отсылается по электронной почте злоумышленнику на адрес: govnodav2004@mail.ru

Троянец Cryzip интересен тем, что шифрует данные на диске и требует выкуп $300 на свой счет e-gold, непосредственно опасность для вашего счета e-gold не представляет.

Итак, большинство вирусов ворующих данные платежной системы e-gold сохраняют нажатие клавиш, в окнах, определяемых по ключевым словам. Важно понимать, что украденные данные сразу не передаются, а сохраняются у вас на машите. При установленном и корректно настроенном firewall, утечка этой информации может быть заблокирована. Большинство рассмотренных вирусов являются комплексными - они собирают данные и других платежных систем, а также пытаются украсть пароли к почтовым ящикам. Поэтому технология AccSent, не является гарантией безопасности вашего счета e-gold. Наблюдается тенденция к увеличению, как количества вирусов, так и их семейственности (выходит не один вирус, а ряд его модификаций).

В качестве защиты необходимо использовать регулярно обновляемый антивирус и firewall, на сообщения которого обязательно нужно обращать внимание.



  • E gold

    Но так как вирусы стараются получить полный контроль над компьютером, для кражи информации хранящейся на нем, следует установить антивирус из надежного источника и регулярно запускать его

     
  • Системы доступа

    В них в том числе передается информация о версии операционной системы, браузера и другая, то есть в некоторой мере идентифицирует компьютеров, хотя многие типовые конфигурации дадут одинаковый результат