Trojan.Win32.Eurosol — «троянский конь», замаскированный под программу выдачи номеров реальных кредитных карт в обмен на просмотр пятнадцати рекламных банеров. На самом деле этот троянец инсталируется в систему и ворует ключевые файлы от программы WebMoney, если она установлена на компьютере жертвы. Эта программа позволяет пользователям производить в системе WebMoney Transfer расчеты виртуальными деньгами за покупки в интернет-магазинах, а также между клиентами системы. Кроме того, виртуальные деньги можно конвертировать в наличную валюту и обратно. Дополнительная информация доступна на сайте www.webmoney.ru.
При запуске «троянского коня» он отображает диалоговое окно с предложением дождаться просмотра рекламных банеров. В это время он копирует себя в каталог %WinDir% (каталог установки системы Windows) под именем Netbios32.exe и регистрирует себя в файле System.ini:
[boot]
shell=Explorer.exe NetBios32.exe /run
Таким образом троянец гарантирует свой скрытый запуск при загрузке операционной системы. Кроме того, он проверяет наличие установленного персонального файрвола ATGuard, и при его обнаружении изменяет ему настройки таким образом, чтобы ATGuard не реагировал на установление
TCP/IP соединений файлом Netbios32.exe с внешними серверами. Также создаются несколько служебных файлов в каталоге %WinDir%.
Затем троянец производит поиск установленной программы WebMoney и пути хранения файлов Keys.kwm (секретный ключ) и Purses.kwm (виртуальный
«кошелек»). Файлы шифруются и отсылаются на публичный ftp-сервер. В дальнейшем злоумышленник может получить украденные «кошельки» и ключи к ним с этого сервера, и подключить их к своей копии программы WebMoney.
После этого он может произвести перевод имеющихся в «кошельках» денег на реальный банковский счет, или получить наличные почтовым переводом на свое
имя.
Trojan.Win32.Eurosol: храните деньги в сберегательной кассе!