Эта программа служит для похищения информации у пользователей российской платежной системы WebMoney. Письмо, предлагающее загрузить троян под видом открытки, было разослано в ночь с 4 на 5 марта. По разным оценкам, это сообщение получили от нескольких сотен тысяч до миллиона адресатов. Не стал исключением и почтовый ящик "Компьюленты".
Вычислить поддельные открытки можно следующим образом. Все письма с трояном были разосланы с адреса greeting_cards@yahoo.com с темой "Вам пришла открытка!" и содержали следующий текст: Вам пришла открытка! Вы можете получить ее, щелкнув по ссылке: http://www.yahoo-greeting-cards.com/***********/viewcard_680fe23d52.asp.scr Открытка доступна для просмотра в течение двух месяцев.
При посещении указанного в письме адреса пользователю предлагается скачать файл viewcard_680fe23d52.asp.scr и запустить его, якобы для просмотра открытки. Двойное расширение призвано скрыть истинную природу файла от пользователей, на компьютерах которых отключен показ расширений файлов зарегистрированных типов. В этом случае пользователь увидит расширение .asp, которое имеют многие документы в интернете, ничего не заподозрит и откроет файл.
Но вместо показа открытки, при открытии файла запустится программа WMpatch, которая после активизации загружает на пораженный компьютер с того же самого сайта (естественно, не имеющего никакого отношения к порталу Yahoo) еще два компонента трояна. Первый из них, dbole.exe, модифицирует системный файл wmclient.dll для перехвата финансовых транзакций по системе WebMoney. Второй компонент sickboy.exe обеспечивает пересылку перехваченных данных на анонимный адрес чешского почтового сервера общего доступа. Таким образом, пользователи WebMoney, подвергшиеся атаке, рискуют лишиться всех средств на своих персональных счетах этой платежной системы.