В субботу российская антивирусная компания "Лаборатория Касперского" опубликовала , предостерегающее пользователей от использования программы "CC-Bank". Эта программа позволяет бесплатно получать номера кредитных карт и прочую информацию о них в обмен на просмотр баннеров, которые, по утверждению авторов, помогают проекту существовать. Для получения одного номера нужно просмотреть 15 баннеров.
"CC-Bank" - это достаточно популярная в последнее время в российском секторе Сети программа. На различных форумах, в частности, еще недавно можно было встретить такие сообщения: "Халявные кредитки VISA/MASTERCARD лежат здесь - www.ccbank.by.ru - поспешите, пока не закрыли!!!"
Однако этот широко разрекламированный программный продукт, по крайней мере, какие-то из его версий, оказался не генератором кредиток, а хакерской утилитой, позволяющей авторам воровать чужие электронные деньги в системе с возможностью их последующего обналичивания.
На форуме еще месяц назад можно было прочесть : "ТЕМА: Re: Пропадают деньги!!! СООБЩЕНИЕ: Деньги пропадали и у меня. Одна из причин, что я пользовался базой кредитных карт, распространяемых на ccbank.boom.ru. Ребята, которые сделали эту базу, встроили туда какой-то e-mail утилит, который крадет файлы ключей и кошельков".
Под генератор номеров кредитных карт систем Visa и MasterCard маскируется троянская программа "", которая крадет информацию о личных счетах пользователя в финансовой электронной системе WebMoney. WebMoney - это универсальная внебанковская система, позволяющая проводить расчеты в Интернете.
С ее помощью можно совершать покупки в электронных магазинах, а также производить расчеты с другими участниками системы. Кроме того, виртуальные деньги можно свободно конвертировать в наличную валюту и обратно.
Каждый пользователь системы имеет свой электронный кошелек, в котором хранятся его электронные деньги. Их, как уже было сказано, можно довольно свободно обналичить, через банки, поддерживающие систему.
После запуска программы CC-Bank на экран выводится диалоговое окно, в котором и должны появляться баннеры. После просмотра 15 баннеров появляется номер и все выходные данные очередной кредитной карты. Тем временем троянская программа "Eurosol" копирует себя в каталог WinDir под именем Netbios32.exe и регистрируется в файле System.ini, что обеспечивает ей скрытый запуск при каждом старте Windows. Кроме того, программа сканирует систему на наличие защитного программного обеспечения ATGuard, и при его обнаружении изменяет настройки. После изменения настроек ATGuard не препятствует попыткам файла Netbios32.exe установить TCP/IP-соединение с внешними серверами.
Затем "Eurosol" сканирует содержимое жестких дисков в поиске ключевых файлов клиентской программы системы WebMoney с целью получения сведений о личном счете жертвы. "Eurosol" находит файлы Keys.kwm (секретный ключ) и Purses.kwm (виртуальный "кошелек"). В случае успешного поиска файлы шифруются и отсылаются на удаленный FTP-сервер, с которого потом преступник может получить все необходимые сведения о чужом кошельке.
"Лаборатория Касперского" сообщает, что пока не подтвердился ни один случай проникновения "Eurosol" на компьютеры пользователей. Однако анализ FTP-сервера позволяет с уверенностью говорить о том, что уже более 300 пользователей, польстившихся на "халявные кредитки", "имеют реальные шансы в ближайшее время обнаружить свои счета в WebMoney пустыми".
В настоящее время программу все так же можно скачать по адресу , на сайте boom.ru найти программу уже не представляется возможным. Возможно, именно эта "неавторизованная" версия программы и была заражена трояном.
Авторы сайта ccbank.by.ru "настоятельно рекомендуют" пользователям проверять найденные в Сети версии программы на наличие вирусов. А в качестве наиболее приемлемого антивирусника рекомендован англоязычный сайт "Лаборатории Касперского" - . На первой странице этого сайта на момент написания материала находилось предостережение лаборатории об опасности использования программы. На сайте ccbank.by.ru так же можно узнать адрес электронной почты и номер ICQ авторов проекта "кредитки на халяву".
Свою программу авторы позиционируют как способ "немножко потрясти богатеньких буржуев". Сколько именно "богатеньких буржуев" уже пострадало, благодаря деятельности авторов программы, и являются ли авторы одновременно и создателями троянской программы - пока неизвестно.
Copyright © 2000-2002 Нетоскоп