Вариант 2. Подтасовка библиотеки в каталог установки кипера (актуальный):

Совсем недавно прокатилась новая волна кражи денег с кипера пользователей. Суть такова – Вы запускаете кипер, делаете нужные переводы или просто смотрите баланс, не важно, отключаете кипер и, в дальнейшем, Вы либо не сможете войти в кипер, либо войдете, но не увидите там своих денег.

Принцип основывается на действии трояна и подтасовывании вирусной библиотеки в папку с установленным кипером. Трояна можно подхватить где угодно, при просмотре зараженного сайта (через фрейм), при установке сомнительного ПО, при использовании программ для взлома (кряки), при просмотре превьюшек на файловых хранилищах, наконец, при просмотре партнерской рекламы сомнительного происхождения.

Принцип всегда один, любым способом загнать на Вашу машину троянца, если вирус проник, то 70% дела сделано. Объясню все более подробно и приведу описание данного вируса (орфография и пунктуация сохранена).

WM Inside, WebMoney Grabbing System

Программа предназначена для получения доступа к счетам пользователей WebMoney Keeper Classic. 

При авторизации пользователя в системе (входе в кипер) программа грабит все необходимые авторизационные данные и отсылает на сервер. Никаких подмен номеров кошельков в буфере обмена, распознавания капч, программного нажатия кнопок, социнженерии и прочих методов. Вы сами сольете титульные знаки, когда посчитаете нужным. Не требуется доступ к мылу пользователя для активации. Всю необходимую инфу об оборудовании и системе пользователя троян собирает и отправляет на сервер.

• Написан на ассемблере.
• Размер билда: 9 кб.
• Каждый билд криптуется уникальным ключом.
• Работа троя невидима для файерволов.
• В хороших отношениях со всеми известными антивирусами.

Работа происходит следующим образом:

После запуска ЕХЕ файла, трой устанавливается в систему (при наличии в ней WebMoney Keeper Classic) и самоудаляется сразу, если кипер отсутствует. При следующем входе пользователя в систему WebMoney (при вводе WMID и пароля) сграбленная информация отправляется на сервер, после чего трой самоудаляется.

К трою прилагаются скрипты: сборщик логов и просмотр лога в онлайн. Скрипты на PHP, БД не требуется. Сграбленная инфа отображается в Online Log-Viewer’e по каждому WMID, непосредственно оттуда она может импортироваться методом Copy + Paste в клиент (либо можно скачать и сохранить в файл).

Клиент представляет собой приложение, предназначенное для запуска из-под него Кипера с целью подмены в нем данных на нужные (сграбленные). Клиент запускает Кипер и производит необходимые изменения в памяти процесса Кипера, в результате чего Кипер передает на сервер ВМ не реальную информацию, а ту инфу, которую трой сграбил на машине пользователя (системная инфа и инфа об оборудовании). Этим достигается "прозрачный" вход на счет пользователя без необходимости активации оборудования по мылу или телефону. Клиент с Кипером можно запускать и на виртуальной машине - поскольку инфа об оборудовании подменяется, сервер WebMoney не узнает, что Кипер запущен на виртуальной машине.

Если говорить на понятном языке, то на Вашу машину "подсаживается" упомянутый выше троян. Троян начинает сканировать директории дисков на наличие установленного каталога с кипером. Если такой каталог обнаружен, троян подменяет системную библиотеку на вирусную inetmib1.dll и удаляется с ПК. При следующем запуске кипера, windows услужливо подсовывает киперу данную библиотеку с вирусом, который делает снимок точной копии Вашей системы и находит ключи от Вашего кипера. Да, я не ошибся, именно ключи, и не важно, что файлы wmid.kwm удалены с ПК и хранятся в надежном месте, мало кто знает, что кипер при запуске создает образ ключей, а именно файл wmid.init, вот их и находит упомянутый вирус.

Далее все данные пересылаются мошеннику, он запускает кипер внутри специальной виртуальной машины, которая эмулирует аппаратно-программную среду на основе украденного кеш-файла ключей. Keeper Classic думает, что его запустили на той же машине и не попросит активацию и ключ от кошелька. При запуске кипера происходит подбор IP, так что IP адрес будет именно из Вашей подсети, поэтому в логах будет Ваш IP. Далее все еще проще, меняются пароли и ключи, и мошенник получает полный контроль над деньгами и WMID.

Дело сделано, Вы добровольно отдали свой WMID в пользование мошеннику, а заодно и все деньги на данном кошельке.