http://www.2000.net.ua/img/news/1/6/169039/default.jpg
Новый вирус, маскирующийся под системный файл Windows, крадет деньги с кошельков в системе WebMoney, – сообщает MoneyNews.

Вирус выдает себя за системный файл inetmib1.dll, который обычно расположен по адресам C:/windows/system32 и C:/windows/system32/dllcache. Зараженная копия размещается в другой папке.

При подключении кипера – клиентского приложения для работы с WebMoney к сервису, вирус подключает к нему инфицированную библиотеку, которая крадет реквизиты и ключи WebMoney.

Эпидемия этого вируса уже приняла массовый характер. В данный момент вирус не обнаруживается новыми версиями антивирусных программ.

18.2.2010
Источник: http://www.2000.net.ua/news/18/169039

как я понял, распространяется он на кипер классик

Кидайте в реверсинг, попробуем выдрать WM, на который идут деньги.

Кидайте в реверсинг, попробуем выдрать WM, на который идут деньги.
Вряд ли все деньги идут на один ВМ-кошель. Думаю это было бы не разумно со стороны создателя вируса.

Кидайте в реверсинг, попробуем выдрать WM, на который идут деньги.
хорошая идея) но мне кажетсО что там несколько кошелей.......

Все равно кидайте. Страна должна знать своих "героев".

не поделитесь???

Mhr_replica Нет мы жадные!

лишний повод убедиться, что вирусописатели одни из самых богатых людей в интернете)

ужасно :(

Все равно кидайте. Страна должна знать своих "героев".
да, но где бы его подхватить....

При подключении кипера – клиентского приложения для работы с WebMoney к сервису, вирус подключает к нему инфицированную библиотеку, которая крадет реквизиты и ключи WebMoney.
он не деньги ворует, а куда-то посылает файл ключей и WMID и возможно кол-во денег, чтобы создатель знал откуда в первую очередь брать.

И все же, лучше узнать куда.

Обнаружил у себя этот файлик :)

Сниффер показал передачу:
1. Моего файла ключей
2. Моего WMID и старый WMID(ХЗ откуд он его откопал)
3. Сумма денег на кошельке и номера кошельков
4. И какойто хэш (Никому не дам(Вдруг чтото важное))

Кароче заметил что он обходит авирь каспера и фаервол (Встроеный и флинк)

Он работает при подключении вебмани кипера. Через 2-3 минуты после коннекта он начал слать данные на мыло grand@mail.ru o_O


Я в шоке ¿

не хотел бы я подхватить такого вируса..

Наличие файла еще ни о чем не говорит, он у всех есть NT http://www.processlibrary.com/directory/files/inetmib1/

http://content.foto.mail.ru/mail/grand/_myphoto/i-2.jpg


grand@mail.ru

Гримяко Андрей

15.11.1976

Россия,МО, г.Яхрома

в Москве по состоянию на июль 2007 г. не прописан

Если я напишу vasa_pupkin@mail.ru ты поверишь ? :))

ща подумаю___)))

Украсть легко, тяжело не попасться. :(
(С) Fooog

grand@mail.ru брут поставлен )
P.S это не вирус а трой =\

брутим вечность (с) radiator

вам бы в следователи уважаемый

Если данное сообщение адресовано мне,отвечаю так-мечтал всегда)

нашел у себя в
C:\WINDOWS\system32
C:\WINDOWS\system32\dllcache
Я в опасности ?

у кого есть файл вируса? или где его скачать можно? хочу на тестирование

так выше ТС XXI писал,что нашел у себя. Напиши ему в пм. Или пущай сюда выложит

я тоже у себя нашол(

Ну тут одно но: файлы ключей он ищет на компе, а если у человека например на съемном носителе все kwm...

меньше порносайтов смотреть надо

это да. и если смотреть то уж не наши хотя б)
Т.е. лучше скачать порно,чем его смотреть онлайн с точки зрения безопасности

Все дружно переходим на лайт.
Или ваще выбрасываем wm)

В операционной системе присутствуют два файла с таким именем - в папке C:\windows\system32 и папке C:\windows\system32\dllcache. Это нормальные системные файлы и необходимы для работоспособности Windows. А вот в других местах файла inetmib1.dll обычно присутствовать не должно (хотя встречались исключения).

Также было несколько сообщений, что системные файлы inetmib1.dll в папках C:\windows\system32 и C:\windows\system32\dllcache были модифицированы и заражены этим трояном.

http://news.mydiv.net/news/view-Webmoney-trojan.html

я у себя нашел только в system32

http://s59.radikal.ru/i166/1002/81/32950bd609fa.jpg (http://www.radikal.ru)

http://s59.radikal.ru/i166/1002/81/32950bd609fa.jpg (http://www.radikal.ru)
Тоже самое. ;) Для Win7 это норм по ходу.

я у себя нашел только в system32

аналогично. мои деньги в безопасносте? :confused:

Да блин, они могут быть и системными, а могут быть вирусами. Швыряйте на virustotal.

Вы их выложите куда нить,интересно всё-таки

кактус откинулся?

Да блин, они могут быть и системными, а могут быть вирусами. Швыряйте на virustotal.
проверил. все четке. походу для семерки так и надо.

Касперский прислал мне письмо в ответ на присланую мною dll

"Спасибо за сообщение.

Мы сделали базовую проверку Вашего файла и обнаружили вредоносный код.

Обновите Ваши базы в течении 24-ёх часов.
Данные о трояне скоро будут добавлены в нашу базу.
Наш антивирус автоматически вылечит заражённые системные файлы и полностю удалит его корни!

С уважением Инокентий!
"

Ждите обнов каспера )

с ошибкой написал, иННокентий пишется,что ж у них такие не грамотные сидят...

с ошибкой написал, иННокентий пишется,что ж у них такие не грамотные сидят...
Помню когда я им написал что мой сайт палится.

Так этот же Инокентий (Помню и тогда эту ошибку заметил) написал мне в стиле "Вчера у меня закончился строк.."

Моя убунта и e-num авторизация смотрит на этот трой как на говно.

Помню когда я им написал что мой сайт палится.

Так этот же Инокентий (Помню и тогда эту ошибку заметил) написал мне в стиле "Вчера у меня закончился строк.."

да уж, с улицы их чтоль берут

У меня 3 копии файлега в:
C:\WINDOWS\ServicePackFiles\i386
C:\WINDOWS\system32
C:\WINDOWS\$NtServicePackUninstall$

UPD: На virustotal ни один антивирь не спалил.

Хы, весело. Как появилась эта новость все сразу же побежали стучаться к хозяину этого вируса xD Вот до чего доводит нехватка денег:D

Это PR-акция)

Подскажите как смеить авторизацию по паролю на енум?

кактус откинулся?

угу, в аське уже давно висит

Ну вообще эта тема давно поднималась в разделе сео.
Файл надо искать в папке с кипером. Информация о модернизировании этих библиотек в систем 32 скорей всего лож...

Чел который поймал снифером отправку своих данных, спасибо я посмеялся....
От какого процесса была отправка?

ключи кипера то любой лох свиснуть с компа может, но к ним нужен еще и пароль.

а пароль к мылу, через которое нужна активация на новом оборудовании, которую невозможно отключить несмотря на наличие этой настройки в кипере?

пароль брутить надо) но хз чем

а откуда он цепляется?

через енум надо работать

веселые вы люди

они очень веселые(
только мяса дай.

по сабжу- хня какая то,славу богу не попадалась

хороший вирусок , если он твой !"

Да блин, они могут быть и системными, а могут быть вирусами. Швыряйте на virustotal

Да блин, они могут быть и системными, а могут быть вирусами. Швыряйте на virustotal
+1. только одни разговоры..никто и не швырял пока)

Эта dll`ка должна быть в папке Webmoney. Вот тогда в опасности.

как можно защититься от вируса этого? предохраниться так сказать :D

у Касперского в базах уже по мойму есть этот вирусняк, еше пару дней и он будет у всех баз.

']у Касперского в базах уже по мойму есть этот вирусняк, еше пару дней и он будет у всех баз.
скорее бы

срочно ставлю каспера)

только его так и некто и не словил по моему.

Sodasir, не вижу смысла в этом). не шарьтесь по ссылка посторонним, порно например ) и не качайте exe , да подозрительные файлы да и все будет нормально)
хоть не каспер, дак Нод32

только его так и некто и не словил по моему.

Sodasir, не вижу смысла в этом). не шарьтесь по ссылка посторонним, порно например ) и не качайте exe , да подозрительные файлы да и все будет нормально)
хоть не каспер, дак Нод32

я в общем то не серьезно, а это все думаю каждый знает)

я в общем то не серьезно, а это все думаю каждый знает)
ну я так..высказался)
А это конечно знают. Все!

Nod ловит этот вирус?

Nod ловит этот вирус?
врядли...когда уже обворуют всех кого можно,тогда и начнет ловить,короче как ток вирус будет неактуален начнуть жопу чухать

А у меня WEBMONEY на кпк. Больно уж за денежку страшно...

ничо не будет с твоим кпк :)
хорошая новость..обрадовала, как правило.

Удачно я все деньги слил остались копейки на кошельке=)

Если подцепишь такой вирус значит подцепишь это судьба :)

Удачно я все деньги слил остались копейки на кошельке=)
+1 Тоже слил все денежки с кошеля))

через енум надо работать
геморрой вырастет. потом хрен восстановишь доступ к кошелю.
я бы вообще расстрелячл того кто придумал всю эту хрень с активацией на мобильник, сертификатами и их ежегодным обновлением

Сегодня поймал его, но славу богу авира справилась с ним!

Сегодня поймал его, но славу богу авира справилась с ним!
интересно где..
и каким антивирусом?

мне кажется NOD словит...

Avira 9 free :) в system32, а у друга в самой папке webmoney!

Avira 9 free :) в system32, а у друга в самой папке webmoney!
Я знаю что в system32.
Должны же варианты быть какието..где шарился.
качал что то подозрительное..

Да нет ничего не качал! запустил кипер и мне авира сразу выдала троян inetmib1.dll

не видят не нод не каспер с мес назад знакомый славил такое 30 руб 20 коп с кошеля ушло

я просто в шоке,чего уже не придумают,а скажите свои деньги можно после такого вернуть если обратиться в вебманей?

Авиру уже как 2года юзаю, еще не разу не подводила!

я просто в шоке,чего уже не придумают,а скажите свои деньги можно после такого вернуть если обратиться в вебманей?
Нет.

не видят не нод не каспер с мес назад знакомый славил такое 30 руб 20 коп с кошеля ушло
Знакомый может считать себя счастливчиком, тут у некоторых суммы с четырьмя нулями с кошельков улетали :D
В связи с этим в последнее время кошельками управляю исключительно с Keeper Mobile :)

Вот скрин... Подскажите. Там вроде файл не должен лежать http://slil.ru/28693555