20.02.2007
Trojan-Spy.Win32.Webmoner.bq
Троянская программа, размер 150 кб, защищен SVKP протектором. Протектор производит поиск драйверов отладчиков и утилит мониторинга, после чего устанавливает свой драйвер WINDOWS\system32\SVKP.sys. Само приложение написано русским программистом на Basic, исходное имя файла troy.exe, типовое имя на ПК пользователя – twunk32.exe, иконка системная – похожа на иконку ПО поддержки сканера. В случае запуска копирует себя в папку Windows и регистрирует в автозапуске в ключе реестра Run, параметр System.
Процесс трояна не маскирует себя в памяти, однако видимых проявлений или окно у него нет. Функции типичны для зловредов класса Webmoner – он осуществляет мониторинг буфера обмена и при обнаружении в нем номеров кошельков систем WebMoney или Yandex-деньги подменяет их на номера кошельков злоумышленника, которые заданы в теле программы в открытом виде (устройство трояна очень похоже на его аналог
Trojan-PSW.Win32.WebMoner.j).