Предупреждение пользователям Webmoney: фишеры стали рассылать поддельную программу-клиент
Xочу рассказать и предупредить о новом способе отъема денег у «населения». В качестве населения в этот раз выступают пользователи довольно популярного сервиса Webmoney. Упало сегодня на почту очень забавное письмо, якобы от Webmoney:
Уважаемый участник системы WebMoney Transfer!
Система WebMoney выпустила новую версию програмы
WebMoney Keeper Classic 3.8.0.0 которая не требует
инсталляции и занимает всего 1.5mb
Эта программа находится в закрытом доступе и
отсылается на почту наших клиентов в целях безопасности.
Программа находится в этом сообщении.
Это автоматическое письмо. Если у вас есть какие-либо вопросы, Вы можете
изучить Справочную информацию: www.webmoney.ru/rus/about/demo/
или отправить вопрос на адрес [email protected]
С уважением,
Команда WEBMONEY TRANSFERИ все бы ничего, но Webmoney:
- Не рассылает вроде как свои программы на e-mail;
- Не опубликовало никакой информации о новой версии программ;В тексте письма помимо прочего присутствовала еще и «англоязычная» версия сообщения, но с жуткими синтаксическими ошибками. Именно это и заставило меня заглянуть в заголовки письма, и вот что там было:
» Нажмите, для открытия спойлера | Press to open the spoiler «
X-Kaspersky: Checking
Return-path:
Received: from [82.140.91.142] (port=59507 helo=biz12bl.bizhosting.ru)
by mx43.mail.ru with esmtp
id 1Le70Z-0000iy-00
for [email protected]; Mon, 02 Mar 2009 15:12:31 +0300
Received-SPF: none (mx43.mail.ru: 82.140.91.142 is neither permitted nor denied by domain of biz12bl.bizhosting.ru) client-ip=82.140.91.142; [email protected]; helo=biz12bl.bizhosting.ru;
X-Mru-PTR: none
X-Mru-NR: 1
X-Mru-OF: unknown (unknown)
X-Mru-RC: RU
Received: from mrpotolo by biz12bl.bizhosting.ru with local (Exim 4.69 (FreeBSD))
(envelope-from )
id 1Le70X-000Efj-36
for [email protected]; Mon, 02 Mar 2009 15:12:29 +0300
To: [email protected]
Subject: WebMoney Keeper Classic 3.8.0.0
X-PHP-script: mrpotolok.ru/svids/svf/wmwids/mail.php for 95.84.11.76
MIME-Version: 1.0;
Content-Type: multipart/mixed; boundary="--8f71e28220cb8225029c69bbb564bc9f"
From: WebMoney
Message-Id:
Sender: User Mrpotolo
Received: for
Date: Mon, 02 Mar 2009 15:12:29 +0300
X-Spam: Not detectedВ общем с виду обыкновенные спам, если бы не одно но!
Во вложении был исполняемый файл с именем WebMoney Keeper Classic 3.8.0.0.exe, имеющий такую же иконку, и более того, скомпилирован с той же информацией, что и настоящий:
» Нажмите, для открытия спойлера | Press to open the spoiler «
Version language: Русский (Россия)
CompanyName: CJSC «Computing Forces»
FileDescription: WebMoney Keeper Classic Runner Module
FileVersion: 3, 6, 0, 1
InternalName: WebMoney Keeper Classic
LegalCopyright: Copyright © 1998-2008 by CJSC «Computing Forces»
LegalTrademarks: WebMoney Transfer
OriginalFilename: webmoney.exe
ProductName: WebMoney Keeper Classic
ProductVersion: 3, 6, 0, 1
Comments: WebMoney. Confidence Internet Information Service Technology.
Creation Date: 02/03/2009 20:15:27
Last Modif. Date: 02/03/2009 20:15:30
Last Access Date: 02/03/2009 00:00:00
FileSize: 1586688 bytes ( 1549.500 KB, 1.513 MB )
FileVersionInfoSize: 2244 bytes
File type: Application (0x1)
Target OS: Win32 (0x4)
File/Product version: 1.0.0.0 / 1.0.0.0
Language: Русский (Россия) (0x419)
Character Set: 1251 (ANSI — Cyrillic) (0x4E3)
Запускать я его не стал, так как здравый смысл подсказывает что делать этого не стоит
. Будьте внимательны, и не стоит из-за своей невнимательности терять контроль или средства со своего кипера Webmoney.
P.S. Я, конечно же, отправил этот пример в службу безопасности Webmoney, но, полагаю, будет не лишним как можно скорее оповестить широкую аудиторию...
© habrahabr.ru