У кого украли Webmoney и доступ к ним - давайте разберемся наконец-то? - Форум об интернет-маркетинге
Этот сайт существует на доходы от рекламы.
Пожалуйста, выключите AdBlock.
Вернуться   Форум об интернет-маркетинге > >
Ответ
 
Опции темы
Старый 08.03.2010, 23:56   #1
В поисках истины
 
Аватар для Spowen
 
Регистрация: 27.02.2008
Адрес: Ukraine
Сообщений: 283
Репутация: 12456

Exclamation У кого украли Webmoney и доступ к ним - давайте разберемся наконец-то?

Я к сожалению также, как и многие люди в последнее время (Аналогичный топик, ещё топик) попал под раздачу, а точнее - наоборот.

В общем, очень неприятнейшая ситуация, как и у многих людей, пострадавших от злостного трояна (с большой долей вероятности - это вот эта хренотень).

Рассказываю свою историю как было дело:

В пятницу вечером как обычно просматривал на Торрентах (Rutracker.org) новинки. Решил поставить на закачку несколько видео. В это время как обычно трепался в аське с другом.
Для справки: на машине стоит NOD32, Outpost Firewall, Spyware Doctor - все с последними базами и постоянными обновлениями.

Ничего не подозревающий я дальше просматривал скрины из файлов, которые предлагались для скачивания на торрентах. Все бы хорошо, но вдруг ни с того ни с сего выскакивает окошко:
"Ошибка vlioey.exe" - типа как что-то запустилось и неудачно, или просто отрыгнулось, но факт я запомнил - ещё сразу загуглил и пошутил с другом в аське, что подхватил виря.
NOD, Outpost и Spyware Doctor МОЛЧАЛИ.
В гугле - 0 результатов по данному файлу или процессу.
Эта ошибка выпала при заходе на сервис картинок Fastpic.ru.
Данный ресурс недавно примкнул к Torretns.ru как новый сервис по хранению картинок. Посещалка очень большая. Но сейчас мы двигаемся дальше по хронологии моих событий...

Далее я естественно заподозрил неладное, перезагрузил машину и просканировался полностью. Никто ничего не нашел, все 3 проги. (в аутпосте тоже есть функция сканирования на Spyware).

Двигаемся дальше - никаких подозрительных активностей, никаких фактов того, что это действительно был вирус... Все это заставило меня спокойно продолжить работать на машине.

Webmoney Keeper запускал, оплачивал счета - все было хорошо. После того, как поработал в программе, успешно закрыл ее и отправился спать.
На выходных машина обычно используется в роли мультимедийного центра, по этому назначению и использовалась, инет был активен. Никаких подозрений не было и тогда.

В воскресенье вечером опять начал работать, включаю кипер - и вот тут-то у меня добавилось седых волос.
"Серьёзная ошибка при выполнении команды". Потом и второе окошко "Некорректный идентификатор или пароль".
Ну думаю, всякое бывает, наверное глюк. Перепробовал миллиард и один вариант, опять добавил себе седых волос, подставил файл ключей и пароль к нему - все срабатывает, но окно все равно не исчезает.

Пошел гуглить... и нагуглил естественно темки у меня взломали Webmoney, взломали Webmoney и ещё много другого (можно ввести в поисковик по ключам).

Прочитав понял, что вполне возможно это троян, ссылку на который я давал выше. Но стучать человеку, продающему его я ещё не пробовал, думаю бесполезно.

Но это ещё далеко не конец истории. Я огорчился и на фоне огорчения стал думать о дальнейшей безопасности. Потому как пока я не знаю деньги ушли из кошельков или нет - в саппорте Webmoney на этот вопрос не отвечают, а арбитраж очень много дней в неделю отдыхает, включая 8 марта. Насчет самой системы - отдельный разговор. Неужели нельзя сделать саппорт 24/7 и дать все полномочия саппорту именно по подобным вопросам.

И собственно забросило меня на Rutracker.org - стал я смотреть на дистрибутивы Линукса, на их красоту и неприступность и фантазировать о том, как же безопасно мне будет работать на линуксе.
И что вы думаете? В это самое время, когда я смотрел очередной скриншот, опять же с сайта Fastpic.ru - ещё одно "чудо" пыталось пробраться, на этот раз NOD отбил угрозу, но аналогично была ошибка открытия какого-то экзешника, сейчас напишу даже какого, но думаю даже имя экзешника генерируется по случайности - этим обьясняется молчание гугла по этому поводу.

Нет, к сожалению имя файла у меня не сохранилось, зато сохранилась прямая ссылка, по которой я получил "в лоб":
Код:
http://fastpic.ru/view/3/2009/1023/532c655b7bfc306c3822f0acdcf014ed.png.html
- надеюсь ходить туда Вы не будете без соответствующего образования/обмундирования и аммуниции ибо на данный момент я уверен эта ссылка представляет опасность до сих пор.

Я бы вообще запретил в фаерволе этот хост - fastpic.ru. Это не антиреклама для него, это истина, которую мы ещё обязательно обсудим. Смысл из всего, что связано с этим сайтом следующий:

Либо специально, либо случайно, либо ещё как (взломали сайт например) на этом сайте висит какой-то "волшебный" поп-ап или поп-андер, или его разновидность. Люди зарабатывают на рекламе партнерками, которые не всегда белые. Чаще всего - серые или черные. И крутиться в этих партнерках может хоть сам дьявол.

Смысл улавливаете?

Я отпишу людям из Fastpic.ru и наверное дам ссылку на эту тему. Сегодня в нашем жестоком мире нельзя верить никому, поэтому я не могу быть уверен в том, что это случайность, или "темная" партнерка, используемая на сайте. Вполне возможно, что сами владельцы занимаются подобной хренью. Но это естественно, предположение.

На данный момент я хочу, чтобы те, кто пострадал таким же образом обьединили свои усилия и информацию, которую мы имеем воедино.

Буду рад, если кто-то также проявит инициативу и предложит что делать дальше.
На данный момент мои действия и советы тем, кто попался на это:


Если попытаться словить за яйца (очень хочется!) обидчиков, то сейчас стоит задача: выяснить откуда ноги растут. Поэтому как минимум нужно пообщаться с представителями Fastpic.ru. Одновременно с этим писать в саппорт Webmoney и арбитраж. Мой идентификатор заблокировали, но обычный саппорт вообще практически не имеет полномочий.

Любому, кто наткнется на подобную ошибку - сразу писать в саппорт чтобы блокировали кошельки на вывод средств. Кроме всего прочего: идентифицировать, что "что-то не в порядке" можно так:

Идем в C:/program files/Webmoney/ и ищем такой файлик: inetmib1.dll. Если он находится в директории с Webmoney - это и есть часть трояна. Касперский уже определяет его, как сказали из его техподдержки. Он определяется как: inetmib1.dll - Trojan-Spy.Win32.Wemon.cv

На данный момент неизвестно какое количество людей пострадало, но думаю довольно приличное. Здесь просьба отписываться тех, кто пострадал и главное: какие меры уже предпринял, какие результаты.

Как правило деньги уводятся в выходные, конвертируются в ближайшем электронном обменнике, переводятся на Яндекс-Деньги и выводятся, либо на них покупаются товары в инет магазинах.
В общем, неисповедимы их пути...

На сегодня я практически ничего не смог сделать, кроме шерсти интернета, подобных тем и колебания воздуха. Вебманевский саппорт отвечает примерно раз в 2.5 часа. Толку от него только в блокировании кошельков, остальное не в его компетенции, а в компетенции арбитража, как он сам обьясняет.

Зарегистрировал новый WMID вчера ночью. Сегодня зайти в него уже не получается. Интересное дело - прога просто закрывается сразу как только заходит в онлайн. Поставил самую новую версию - тоже самое. Видимо я ещё не полностью почистился от этой нечисти.

Благодарю всех за внимание и надеюсь это будет полезно всем.
Если где-то Вы хотите меня поправить или дополнить - милости прошу.


Ещё есть очень большая пища для размышлений: вот такая вот статейка из журнала хакер. Была написана давно, но я думаю в ней очень многое ещё актуально.
Spowen вне форума   Ответить с цитированием

Реклама
Старый 09.03.2010, 08:57   #2
Slavomir
Профессор
 
Аватар для Slavomir
 
Регистрация: 05.12.2005
Сообщений: 914
Репутация: 103309

По умолчанию Ответ: У кого украли Webmoney и доступ к ним - давайте разберемся наконец-то?

Цитата:
Сообщение от Spowen Посмотреть сообщение
На данный момент я хочу, чтобы те, кто пострадал таким же образом обьединили свои усилия и информацию, которую мы имеем воедино.

Буду рад, если кто-то также проявит инициативу и предложит что делать дальше.
На данный момент мои действия и советы тем, кто попался на это:
И что вы сможете сделать? WebMoney все похрену. Они все сваливают на пользователя. Исправлена или нет уязвимость в последней версии Кипера - неизвестно. Если бы реально такая серьезная уязвимость была бы исправлена, то они бы принудительно перевели бы всех пользователей на последнюю версию, чего не произошло.
Пока, можете сделать следующее:
1. Если украдены деньги - идти в Управление "К" и писать заявление.
2. Стать параноиком при использовании Кипера. Свои идеи по этому поводу высказал здесь.
Можно еще, конечно, поднимать бучу на форумах, но толку от этого мало. В основном будете нарываться на язвительные, порой весьма глупые, нападки тех, кто еще не столкнулся с этим и не осознал серьезности угрозы.
Slavomir вне форума   Ответить с цитированием
Старый 09.03.2010, 09:21   #3
JorButano
Магистр, в SEO с 2008 г.
 
Регистрация: 16.07.2009
Сообщений: 77
Репутация: 10450

По умолчанию Ответ: У кого украли Webmoney и доступ к ним - давайте разберемся наконец-то?

Согласен с Slavomir, от поднятого буча на форумах будет толку мало, всё это будут пустые дискуссии, WebMoney будут всё также посылать в правохранительные органы.
Сейчас стоит каждому лично подумать как защититься и предотвратить подобные случаи.
inetmib1.dll - толком ещё не определяется и будет ли он определяться полностью неизвестно, т.к. на мой взгляд гуляют его разные версии. Думаю стоит ждать новую версию кипера классик, где будет отсечена "фишка" винды с подстановкой файла из текущего каталога, а только потом из системной папки.
Цитата:
Буду рад, если кто-то также проявит инициативу и предложит что делать дальше.
Воспользоваться всевозможными способами защиты, естественно приемлемыми по карману для каждого.
JorButano вне форума   Ответить с цитированием
Старый 09.03.2010, 09:24   #4
zexis
Академик
 
Аватар для zexis
 
Регистрация: 09.08.2005
Сообщений: 3,891
Репутация: 722156

По умолчанию Ответ: У кого украли Webmoney и доступ к ним - давайте разберемся наконец-то?

1) Ставите ли регулярно последние патчи дл windows?
С сайта update.microsoft.com

2)Стояла ли у вас в кипере возможность подключения только с вашего IP ?

3) Было ди указанно, что код разблокировки присылать не на емейл, а на ваш мобильный через СМС ?
zexis вне форума   Ответить с цитированием
Старый 09.03.2010, 09:37   #5
inspred
Аспирант
 
Регистрация: 16.06.2008
Сообщений: 104
Репутация: 1316

По умолчанию Ответ: У кого украли Webmoney и доступ к ним - давайте разберемся наконец-то?

Вот у меня например не стояла блокировка по ip поскольку динамический адрес, СМС активация не стояла но на почте в логах было записано что последний заход на почт ящик был 18 января и это был я, а ошибка такая возникла 8-го марта - я гдето слышал что вирусы это все обходят делая какойто образ системы и поэтому не требуется активация...но каким образом изменили пароль, если должно было письмо приходить на почтовый ящики неизвесно...

Вот еще такой вопрос, я когда выводил деньги, у обменника у которых на webmoney только wmz хранится около 60000$ стоят Apple компьютеры, через которые они работают с вебмани, вопрос к знающим, действительно ли установка кипера на Apple помогает максимально обезопасить кипер от взлома + если использовать максимальные методы защиты, такие как активация по СМС, блокировка по ip и хранение ключей на сменно носителе?
inspred вне форума   Ответить с цитированием
Старый 09.03.2010, 09:46   #6
JorButano
Магистр, в SEO с 2008 г.
 
Регистрация: 16.07.2009
Сообщений: 77
Репутация: 10450

По умолчанию Ответ: У кого украли Webmoney и доступ к ним - давайте разберемся наконец-то?

inspred, вот у вас Вы пишете стояла блокировка по маске ip, ток кто ломает тоже не лыком шиты они юзают проксик, не удивлюсь если у Вас один из самых распространённых провайдеров. Другое дело, если бы у вас был белый ip и стояла только на него блокировка.

Цитата:
действительно ли установка кипера на Apple помогает максимально обезопасить кипер от взлома
Во всяком случае макось не так распространена как винда и дураку понятно, что расчёт идёт на массовость. Но и юзая продукты Apple на мой взгляд стоит заботиться о защите.
JorButano вне форума   Ответить с цитированием
Старый 09.03.2010, 10:02   #7
inspred
Аспирант
 
Регистрация: 16.06.2008
Сообщений: 104
Репутация: 1316

По умолчанию Ответ: У кого украли Webmoney и доступ к ним - давайте разберемся наконец-то?

Последние базы, Dr.WEB нашел Trojan.PWS.Webmonier.198 - пока нашел информацию что этот трой только заменяет платежные данные, но возможно какаято модификация, которая сперла кипер
inetmib1.dll не видно...
Spowen На всякий случай проверте систему на этот вирус, раз говорите что новый кипер также не запускается.

П.С Ситуация с кипером такая же как у ТС.
inspred вне форума   Ответить с цитированием
Старый 09.03.2010, 10:06   #8
danmaster
Академик
 
Аватар для danmaster
 
Регистрация: 04.02.2007
Сообщений: 5,580
Репутация: 629219

По умолчанию Ответ: У кого украли Webmoney и доступ к ним - давайте разберемся наконец-то?

Цитата:
Сообщение от Spowen Посмотреть сообщение
В общем, очень неприятнейшая ситуация, как и у многих людей, пострадавших от злостного трояна (с большой долей вероятности - это вот эта хренотень).
При переходе на "эту хренотень" у меня авира премиум блокирует соединение. Там тоже какая-то шняга. Уберите урл к чертям.
danmaster вне форума   Ответить с цитированием
Старый 09.03.2010, 10:10   #9
planetapokera
Думай и богатей
 
Аватар для planetapokera
 
Регистрация: 08.02.2009
Адрес: 7062051
Сообщений: 2,064
Репутация: 355064
Отправить сообщение для planetapokera с помощью ICQ Отправить сообщение для planetapokera с помощью Skype™
Социальные сети

По умолчанию Ответ: У кого украли Webmoney и доступ к ним - давайте разберемся наконец-то?

а у пользователей Webmoney Light подобные проблемы были?
planetapokera вне форума   Ответить с цитированием
Старый 09.03.2010, 10:11   #10
_vb_
Ненастоящий сварщик
 
Аватар для _vb_
 
Регистрация: 25.07.2009
Адрес: Деревня, глушь, Саратов
Сообщений: 1,004
Репутация: 109718

По умолчанию Ответ: У кого украли Webmoney и доступ к ним - давайте разберемся наконец-то?

Spowen, не работайте под админским аккаунтом винды, заведите для работы ограниченный пользовательский аккаунт. Забудете о большинстве проблем с вирями и троянами.

А для вебманей еще кипер-лайт + енум авторизация. Но это безотносительно к вирусам.
__________________
Саратовская фракция серча. Давайте посчитаемся.
_vb_ вне форума   Ответить с цитированием
Ответ




Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Текущее время: 06:57. Часовой пояс GMT +3.

Регистрация Справка Календарь Поддержка Все разделы прочитаны