У кого украли Webmoney и доступ к ним - давайте разберемся наконец-то?

Ну так возможности последней версии кипера 3.9.1.0 по подтверждению платежей через Энум позволят избежать увода средств с уже украденного кипера?

(У меня деньги не уводили - кошелек успел заблокировать арбитраж. Но троян то мог успеть увести состояние кипера. И судя по постам отдельный ноут уже не спасет.)

Igor-san, Эх поеду ка я пожалуй в местный магазин за етокеном и уг мобильником под Энум, меня не обокрали я просто вчера видел такое ....

Я конечно успел руками обезвредить трояна и сдать антивируcной компании которая меня охраняет (не скажу каким антивирусом пользуюсь даже под пытками). но всё же .

Какая разница, какую ОС из семейства микрософт использовать и где хранить ключи, под администратором или пользователем работать, если троян, судя по описаниям, просто ждет, когда жертва залогинится в кипер, чтобы потом скопировать некий образ, который можно запустить в некой виртуалке.

Какая разница, каким антивирусом пользоваться, если судя по описаниям, троян с каким-то там шифрованием и наверняка его модификации создаются одним кликом, и пока эта модификация не попадет к разработчикам антивирусов, троян не будет определяться в системе ни одним антивирусом.

Заблуждаетесь. Это у обычных людей без активации работать не будет, а у хакеров все реализовано так, что кипер даже не понимает, что работает на совершенно другом оборудовании. Защита с активацией на новом оборудовании в данном случае абсолютно бесполезна. Есть только одно условие, прописанное в рекламе трояна - первые два числа IP-адреса должны совпадать.

И в этом уверенности пока нет. У земляка, обокраденного вместе со мной, была включена блокировка по IP, но это не помогло. Единственная надежда, что блокировку он включил не для своего выделенного IP, а для всего диапазона провайдера, как по умолчанию предлагает WebMoney. К сожалению, не могу до него достучаться, чтобы окончательно прояснить вопрос.

Случаи взлома кипер лайта где-то на форуме самих вебмани описывались со скриншотами. Вероятно. что пользователей лайта существенно меньше, так как начиная пользоваться вебмани все проникаются якобы сложной и внушительной защитой классика со всеми его ключами, паролями и прочим.

И потом если уж такая якобы сложная и навороченная программа как кипер классик может быть записана в некий образ, то что мешает злоумышленникам записывать в образы браузеры со всеми потрохами, фтп клиенты и т д

Системы виртуализации давно развиваются, и если любую ОС можно запустить виртуально, то наверняка можно сделать это с любыми программами под виндос.

Короче на сервере для каждого вмид хранится хеш пароля, список хешей оборудования для активированных компов, маска доступа ip и public key.

Когда кипер логинится он передает хеш пароля, хеш текущего оборудования и машиннозависимый ключ из .init

Хеш пароля проверяется до коннекта поэтому можно сделать вывод, что существует его копия на клиенте. При помощи хеша оборудования из машиннозависимого ключа делается независимый ключ и сервер проверяет соответствие privat key и public key. Если соответствуют, проверяется хеш оборудования на вхождение в список. Если не входит - требует активацию. Далее проверяется вхождение айпи в подсеть блокировки.

З.Ы. ХА! Я понял откуда может возникать эффект доступа при смене ключей/пароля!

Если кипер не выключать он хранит в памяти все данные для удачного логина(и автоматом логинится хоть через минуту хоть через два дня при обновлении соединения). Если же войти со второго кипера и изменить пароль/ключи/блок айпи то первый кипер тоже будет авторизованным со старыми данными до момента утери соединения, а при перелогине его уже не пустит.

Поэтому если злоумышленник украл данные для входа и не разрывает соединение - его кипер будет работать даже если жертва сменит данные!

З.З.Ы. От такой схемы спасет принудительный периодический перелогин кипера. Возможно в последнем билде это добавили?

разница есть, в висте попробуйте в c:\Program Files\Webmoney подменить dll руками с помощью проводника

в каком месте он ждет? чтобы остаться в памяти виндов после перезапуска он

должен где-то сохранить себя на жестком диске - правильный антивирус Avast не даст это сделать. При этом все равно как троян закодирован и опознается или нет, ему просто не дадут сохраниться на диск ни в каком виде.

beginerx добавил 09.04.2010 в 12:13

мешает то что хранилище сертификатов закрыто мастер паролем, т.о. троян должен еще кей-логер

в систему поставить... без пароля просто копирование всего браузера ничего не даст.

Когда украли первый раз (почти 500 баксов) - на компе, после восстановления доступа я уже установил все вебманевские рюшечки - начиная от блокировки по айпи, заканчивая хранением ключей в енум. При чем для большей гарантии и невозможности кражи онлайн все это дело несколько раз перегенировал и пароли кстати на всякий случай вводил, вводя в заблуждение (с переходом использованием стрелочных клавиш).

И все это прекрасно работало, пока мне не пришли деньги на другой ВМИД и я их не перевел на восстановленный, чтобы вывести на карточку.

Что интересно, сразу после этого в этот ВМИД я уже зайти не смог - я был в шоке - это фантастика. Версия о трояне на этом компе отпадает.

Такое действительно можно только объяснить тем, что этот ВМИД подконтрольный хакерам, более того - они наблюдают сколько на кошельках и выставляют лимиты / ждут появления бабок на счету.

То есть если такое возможно, то это ИМХО вина самой Вебмани, их защита полностью сломана, раз можно сэмулировать работу залогиненного кипера. К чему тогда их рюшечки с блокировками по айпи, авторизациями по енум и т.д.

У меня при первой краже была и та и та винда (на компе хрюша, на ноуте 7), последнюю операцию по переводу средств проводил из ХР и выключил комп, и украли через 3 часа. Ноут в тот день даже не включался, откуда украли не знаю, так как оба компа были выключены, а после кражи троян не обнаруживался ни на одном из них - видимо действительно самоудалился.

ну в принципе думаю всем стало ясно что кривая неправильная сама идеология защиты по

типу залогинился и переводишь сколько хочешь. В случае наличия трояна на самом ПК

в принципе невозможно защититься. Единственно правильная идея что высказывалась -

подтверждение каждой транзакции через сотовый.

А пока нет такого есть только возможность затруднить проникновение трояна на ПК,

а это отказ от XP, работа под ограниченным юзером, оперой или лисой, запрет на модификацию и запись

исполняемых файлов на диск антивирусом, удалить все что связано с дырявыми pdf, флэш, ява.

beginerx добавил 09.04.2010 в 12:37

диск надо сканировать на другом чистом ПК иначе троян не увидишь, он не самоудалился, он заруткитился.

Кстати, сегодня может быть большая серия краж. Так как введение новой системы работы через емум появилось вчера, то можно ожидать в ближайшем времени, что много людей перейдут на неё. А это значит, что ворам нужно быстрее оприходовать вмиды. Сегодня же пятница - благоприятный день для воровства денег - завтра наступает выходной.

Кстати, те кто перешёл на подтверждение операций через енум зайдите на https://security.webmoney.ru/ и в разделе E-Num авторизация > подтверждение операций у вас тоже написано

Или если заходишь с помощью классика, но через енум, то этой надписи нет?