Украли WMZ

В момент когда украли кошелек был включен и мне кажется это как раз и послужило возможностью доступа. Код подтверждения ввожу при каждой оплате.

Да я немного не об этом коде подтверждения говорю :) Вот вы хотите передать WM на один кошелек Пупкину, но тут одумались и вспомнили, что должны Забулдыгину и сменили кошель, вот в этом случае если меня не подводит память кипер ругается и говорит вы сменили кошелек и сразу капчу заставляет вводить.

Нет такого кода не ввожу. Просто не знал что есть такая функция.

Хм... Это была единственная надежда на защиту :(

Значит и капчу обходят :(

Тогда писец.......... Единственный способ защиты это не запускать кошелек.

А были времена когда он у меня всегда запущен был..........

Здравствуйте, уважаемые!

Рассказываю свежую историю, происшедшую только что.

Включил я компьютер, запустил WM кипер. Версия свежая, все ok.

Вылетает запрос на активацию, у меня используется флэшка и я хожу по разным компьютерам, думаю, ладно, щас введу. Открыл почту, вставил код активации в кипер.

Как только я это сделал пролетело несколько окон "Передача денег..." после чего комп сам сделал завершение работы. Окон было несколько и мне показалось, что они были пустые, без данных. И я подумал, что сам что-то несколько раз потыкал, кипер подвис, а потом окна открылись: ну это я так подумал.

После этого комп запускаться перестал. Загружается и крутится на уровне Log Off Log On. Теперь еще его чинить надо.

Еще не поняв что произошло, я открыл кипер в мобильнике и увидел, что вместо 120 долл у меня теперь 10 центов. Невероятно. Написал в суппор wm. Потом позвонил, сказали пишите в арбитраж. В арбитраже предложили залочить аккаунт подозреваемого, что я и сделал за 5 wmz которые пришлось менять с рублей (WMR жулики не взяли).

Обратите внимание. Капча была ВКЛЮЧЕНА! И я это точно помню. У меня все опции включены секьюрити. Получается, есть дыра в самом кипере, которая позволяет жуликам обходить капчу. Мало того, у меня стоит Agnitum Firewall и только вчера я прогонял комп через CureIt. Потому что заметил какой-то странный вирус, который при запуске любого exe пытался руками этого exe изменить в реестре ключ appinit_dlls. Антивирусники его не видели и я его снес через какую-то утилиту, которая вирус и exe удалила при запуске, после чего все фокусы прекратились.

Вот такая история.

Сумма-то, конечно, небольшая, но обломно теперь придется на оплату доменов и хостинга вводить деньги через обменники.

И самое обидное что развели тебя... Как, не побоюсь этого слова, "лоха".

Только деньги из GCL прислали и на тебе... :(

Сейчас в истории операций посмотрел, там в комментариях написано что-то вроде Great deal, great deal, thanx partner # и номер какой-то...

Я вот думаю, что делать-то теперь? Сижу за компом отца. Ноутбук сгорел у меня пару недель назад. Вот и подумай тут о смысле жизни...

В общем, вспомнил я слова такие:

Не собирайте себе сокровищ на земле, где моль и ржа истребляют и где воры подкапывают и крадут, но собирайте себе сокровища на небе, где ни моль, ни ржа не истребляют и где воры не подкапывают и не крадут, ибо где сокровище ваше, там будет и сердце ваше.

- Дмитрий

Добрый день!

Целых два дня промучался выясняя что с компьютером после этой атаки. И выяснил, что хакеры удалили данные из ключа реестра HKLM/Software/Microsoft/Windows NT/CurrentVersion/Winlogon/Userinit. А должно там содержаться C:\Windows\system32\userinit.exe (это при условии, что у Вас Windows установлен в папку C:\Windows).

За неимением шелла компьютер при логоне тут же вылетал снова в окно логона и так до бесконечности.

Единственно, поправить это трудно на самом компьютере, т.к. в Windows зайти не получается. Поэтому снял винт, подключил к другому компьютеру и сделал там. Импортировал ветку реестра туда (она находится в папке C:\Windows\system32\config, имя файла Software (без расширения). Вызываем regedt32.exe и делаем Load Hive (или импорт куста, что-то вроде этого там). При этом курсор нужно держать на ветке HKEY_USERS, иначе Load Hive заштриховано. Исправляем нужные данные и все, сохранять не нужно, само сохраняется автоматически.

Вот, решил этим постом съэкономить время товарщам по несчастью...

Удачи.

С уважением,

- Дмитрий

Добрый день!

В общем после восстановления компьютера решил я опять запустить кипер, только держа руку на кабеле модема. Запустил, опять активация, сразу после активации опять та же ерунда, окна "Передать деньги", только тут я выдернул кабель из модема. Все остановилось. Не успели. :)

Полез смотреть логи фаервола. И что? Webmoney.exe связывается с явно левыми хостами, один вообще какой-то сайт полностью на арабском языке. Я взял и прописал в hosts для этих хостов ip 127.0.0.1. Тогда кипер стал вылетать в тот момент, когда он собирался украсть деньги. Переустановил кипер. Не помогло. Полностью снес и установил заново. После этого попытки воровства прекратились. Тем не менее, кипер иногда продолжает лезть на какой-то левый арабский сайт на 80 порту. Видимо, это у меня в системе еще что-то "живет".

В общем, теперь становится понятно как жулики обошли капчу. При помощи вируса был взломан сам кипер (непонятно, он свою целостность не проверяет что ли, цифровой подписи у него нет?). Капчу кипер передавал, видимо, злоумышленникам, которые, наверное, сидят на КПК и ждут когда она придет и тут же ее вводят и отправляют). Я так надеюсь, что капча у WM реализована на стороне сервера, а не в кипере, ну а если в кипере, то тем более все понятно. Видимо, все-таки в кипере, слишком уж он быстро деньги переводить начинал.

В общем, моя ошибка была в том, что я прописал в фаерволе Webmoney.exe в trusted applications. А этого ни в коем случае делать нельзя! Теперь я создал правила для webmoney.exe по одному и разрешил ему связь только с серверами webmoney, которые очень легко узнать по именам.

И что хочу сказать: попытка взлома (удавшаяся) оказалась очень изощренной. Я бы и не додумался до такого... И никто ничего не "заметил", ни антивирус, ни фаервол, ни кипер. Невероятная просто история...

Так что берегитесь, друзья!

С уважением,

- Дмитрий

запугали блин...а до того как сперли деньги антивирусы не матерились,ничего не говорили мол у вас вирус и т.д?

Спасибо за подробное объяснение.

какая версия Agnitum Firewall? И что за антивирь у Вас пропускает такое?

AngelOfGrief, Я запостил ваши откровения на форуме ВебМани и задал несколько вопросов по данной теме

Не прошло и 2 дня как все сообщения были потерты напрочь, каких либо комментариев само собой получено не было

Мой вывод.

В Системе ВебМани есть дыра, случайная дыра либо созданная преднамеренно.

Учитывая то что данная дыра известна уже сравнительно давно (подобный вид воровства существует минимум 4 месяца) и что техподдержка игнорирует вопросы и не выпускает заплатки или обновления................. в общем напрашивается только вывод что данная дыра сделана преднамеренно и что сама система если даже и не причастна к воровству то очень хорошо попустительствует данному виду мошейничества.

PS Если честно............. После посещения центрального офиса в москве я вообще не могу назвать это серьезной конторой - 4 заваленные бумагами стола и больше ничего. Про обменники в подвалах маскирующиеся под тур агенства я вообще промолчу. Туда просто страшно ходить а не то что доверять им килобаксы.......

Увы........... приходится пользоваться всем этим безобразием