WebMoney или деньги не туда (подмена кошельков через буфер обмена)

Вообщем не так давно столкнулся с такой проблемой что при копировании кошельков Webmoney в буфер обмена у меня подставлялись вместо моего кошелька, кошельки аферистов. Согласитесь интересно звучит?
Дело в том что речь пойдет о неком вирусе (троянчике)
Как говорят все гениальное – просто. Простой вирус. Висит в памяти. Подменяет в буфере обмена ваш кошелек на свой. WebMoney и Яндекс-деньги

Долго искал решение как избавится от этого вируса и вот решил поделится с вами. А вдруг кому то и пригодится.

Так вот - это троянская программа написана на Basic (не сжата не зашифрована) но при этом косит по системный файл. При запуске может выполнять такие действия.
- Создает копию своего файла в папке Windows имя исполняемого файла соответствует имени под которым был запущен троян на компьютере юзера.
- Регистрируется в автозапуске, ключ CurrentVersionRun, параметр System
- после запуска скрытно остается в памяти и мониторит буфер обмена на наличие кошельков Webmoney или Яндекс деньги.
Таким образом принцип действия троянской программы что при совершении платежа часто номера кошельков копируются в буфер обмена и пользователь обычно не проверяет многозначный номер после его вставки. Троянская программа подменяет ваши кошелек на кошелек создателя троянской программы. В итоге получаете деньги не вы а мошенник.

А теперь самое интересное. Как этот вирус попал если вы пользуетесь самым современным антивирусом (хоть это Касперский, хоть др. Веб, Аvira и.т.д) почему он не обнаружил его?
Дело в том что этот вирус не несет какого то вреда вашему компьютеру (он не размножается и т.д) он просто весит в автозапуске и мониторит буфер обмена на наличие кошельков. Он не так распространен в сети поэтому его так сложно обнаружить. Поэтому его и нет в вирусных базах антивирусов и попасть он может без труда на ваш компьютер.

И так теперь ближе к сути я уже говорил что я стал жертвой такой вот вредоносной программы и я решил довести дело до конца и избавится от него. Вообщем все мои кошельки (Гривневые, Доларовые, Евро, Российские) при копировании в буфер заменялись на аналогичные вот этого владельца - WMID#181997395382

я как и любой другой написал на него абузу.
Далее шла речь о том как найти этот вирус. Вобщем погуглив день второй я наткнулся на такую вот программу
Security Task Manager
virustotal.com

Описание писать не буду зайдете и почитаете. Кратко скажу что программа ищет программы и файлы которые могут нанести вред вашему компьютеру.

Скачиваете программу и запускаете ее.
Программа автоматически найдет программы и поставит им приоритет по опасности (смотреть на меню оценка)
Как видим у нас есть подозрительный файл с названием services.exe который расположен в директории c:\Windows - это не правильное размещение этого системного файла (а настоящий файл должен находится \Windows\System32) проверьте обязательно чтобы он там был. (хотя он там и есть)

Что делаем дальше, нам нужно быть увереным что это именно тот файл который нам и подменяет кошельки берем файл который мы нашли в директории c:\Windows и в этой программе и нажимаем удалить (но не удаляем а перемещаем в карантин) Делается это для того чтобы убедится что это он.
После того как переместили файл в карантин, запускаем свой кипер копируем кошелек в буфер и пробуем вставить. И о чудо кошельки вставляются именно наши а не этого мошенника.

Теперь осталось нам удалить этот файл из карантина и радоваться жизни.

Вот в принципе и все (такой вот краткий мануал). Может кому то и пригодится случаи бывают разные.


P.S. Проверяйте номер кошелька перед осуществлением финансовых операций.

 

Данному вирусу я хз сколько уже лет , но видать он потерял свою актуальность , а теперь сного набирает обороты )

 

Было такое)

 

Ну да, я гуглил такие темы еще были в 2007 году про этот вирус.
Просто сделал статейку, чтобы были аккуратнее, может кому-то пригодится и чтобы не попадались на такую уловку..

 

спасибо пригодиться!

 

в 2010 году помню эта фича была актуальна)

 

Хитро придумана, хорошо что я свой кошелек помню, и не копирую его

 

Спасибо за инфу

 

+ Не знал

 

копипаст. тема 2012 года с донецкфорума( не реклама)

 

А я то думал,почему номер изменился,оказывается вирус.Вот из за этого вируса я и отправил какому то челу 4000 тысячи рублей.Спасибо за тему.Сейчас буду разбираться

 

Антивирус не видит этот вирус ?

 

Палится всеми антивирусами сам вирус
Пробовал создать
Новых еще не делали , только старый в сети гуляет