За 20к рублей, а в сотни и тысячи раз больше - Финансы

У кого украли Webmoney и доступ к ним - давайте разберемся наконец-то?

Spowen · 2020-07-28T15:09:42.0000000Z

Я к сожалению также, как и многие люди в последнее время ( Аналогичный топик , ещё топик ) попал под раздачу, а точнее - наоборот. В общем, очень неприятнейшая ситуация, как и у многих людей, пострадавших от злостного трояна (с большой долей вероятности - это вот эта хренотень ). Рассказываю свою историю как было дело: В пятницу вечером как обычно просматривал на Торрентах (Rutracker.org) новинки. Решил поставить на закачку несколько видео. В это время как обычно трепался в аське с другом. Для справки: на машине стоит NOD32, Outpost Firewall, Spyware Doctor - все с последними базами и постоянными обновлениями. Ничего не подозревающий я дальше просматривал скрины из файлов, которые предлагались для скачивания на торрентах. Все бы хорошо, но вдруг ни с того ни с сего выскакивает окошко: "Ошибка vlioey.exe" - типа как что-то запустилось и неудачно, или просто отрыгнулось, но факт я запомнил - ещё сразу загуглил и пошутил с другом в аське, что подхватил виря. NOD, Outpost и Spyware Doctor МОЛЧАЛИ. В гугле - 0 результатов по данному файлу или процессу. Эта ошибка выпала при заходе на сервис картинок Fastpic.ru. Данный ресурс недавно примкнул к Torretns.ru как новый сервис по хранению картинок. Посещалка очень большая. Но сейчас мы двигаемся дальше по хронологии моих событий... Далее я естественно заподозрил неладное, перезагрузил машину и просканировался полностью. Никто ничего не нашел, все 3 проги. (в аутпосте тоже есть функция сканирования на Spyware). Двигаемся дальше - никаких подозрительных активностей, никаких фактов того, что это действительно был вирус... Все это заставило меня спокойно продолжить работать на машине. Webmoney Keeper запускал, оплачивал счета - все было хорошо. После того, как поработал в программе, успешно закрыл ее и отправился спать. На выходных машина обычно используется в роли мультимедийного центра, по этому назначению и использовалась, инет был активен. Никаких подозрений не было и тогда. В воскресенье вечером опять начал работать, включаю кипер - и вот тут-то у меня добавилось седых волос. "Серьёзная ошибка при выполнении команды". Потом и второе окошко "Некорректный идентификатор или пароль" . Ну думаю, всякое бывает, наверное глюк. Перепробовал миллиард и один вариант, опять добавил себе седых волос, подставил файл ключей и пароль к нему - все срабатывает, но окно все равно не исчезает. Пошел гуглить... и нагуглил естественно темки у меня взломали Webmoney , взломали Webmoney и ещё много другого (можно ввести в поисковик по ключам). Прочитав понял, что вполне возможно это троян, ссылку на который я давал выше. Но стучать человеку, продающему его я ещё не пробовал, думаю бесполезно. Но это ещё далеко не конец истории. Я огорчился и на фоне огорчения стал думать о дальнейшей безопасности. Потому как пока я не знаю деньги ушли из кошельков или нет - в саппорте Webmoney на этот вопрос не отвечают, а арбитраж очень много дней в неделю отдыхает, включая 8 марта. Насчет самой системы - отдельный разговор. Неужели нельзя сделать саппорт 24/7 и дать все полномочия саппорту именно по подобным вопросам. И собственно забросило меня на Rutracker.org - стал я смотреть на дистрибутивы Линукса, на их красоту и неприступность и фантазировать о том, как же безопасно мне будет работать на линуксе. И что вы думаете? В это самое время, когда я смотрел очередной скриншот, опять же с сайта Fastpic.ru - ещё одно "чудо" пыталось пробраться, на этот раз NOD отбил угрозу, но аналогично была ошибка открытия какого-то экзешника, сейчас напишу даже какого, но думаю даже имя экзешника генерируется по случайности - этим обьясняется молчание гугла по этому поводу. Нет, к сожалению имя файла у меня не сохранилось, зато сохранилась прямая ссылка, по которой я получил "в лоб": http://fastpic.ru/view/3/2009/1023/532c655b7bfc306c3822f0acdcf014ed.png.html - надеюсь ходить туда Вы не будете без соответствующего образования/обмундирования и аммуниции ибо на данный момент я уверен эта ссылка представляет опасность до сих пор. Я бы вообще запретил в фаерволе этот хост - fastpic.ru. Это не антиреклама для него, это истина, которую мы ещё обязательно обсудим. Смысл из всего, что связано с этим сайтом следующий: Либо специально, либо случайно, либо ещё как (взломали сайт например) на этом сайте висит какой-то "волшебный" поп-ап или поп-андер, или его разновидность. Люди зарабатывают на рекламе партнерками, которые не всегда белые. Чаще всего - серые или черные. И крутиться в этих партнерках может хоть сам дьявол. Смысл улавливаете? Я отпишу людям из Fastpic.ru и наверное дам ссылку на эту тему. Сегодня в нашем жестоком мире нельзя верить никому, поэтому я не могу быть уверен в том, что это случайность, или "темная" партнерка, используемая на сайте. Вполне возможно, что сами владельцы занимаются подобной хренью. Но это естественно, предположение. На данный момент я хочу, чтобы те, кто пострадал таким же образом обьединили свои усилия и информацию, которую мы имеем воедино. Буду рад, если кто-то также проявит инициативу и предложит что делать дальше. На данный момент мои действия и советы тем, кто попался на это: Если попытаться словить за яйца (очень хочется!) обидчиков, то сейчас стоит задача: выяснить откуда ноги растут. Поэтому как минимум нужно пообщаться с представителями Fastpic.ru. Одновременно с этим писать в саппорт Webmoney и арбитраж. Мой идентификатор заблокировали, но обычный саппорт вообще практически не имеет полномочий. Любому, кто наткнется на подобную ошибку - сразу писать в саппорт чтобы блокировали кошельки на вывод средств. Кроме всего прочего: идентифицировать, что "что-то не в порядке" можно так: Идем в C:/program files/Webmoney/ и ищем такой файлик: inetmib1.dll . Если он находится в директории с Webmoney - это и есть часть трояна. Касперский уже определяет его, как сказали из его техподдержки. Он определяется как: inetmib1.dll - Trojan-Spy.Win32.Wemon.cv На данный момент неизвестно какое количество людей пострадало, но думаю довольно приличное. Здесь просьба отписываться тех, кто пострадал и главное: какие меры уже предпринял, какие результаты. Как правило деньги уводятся в выходные, конвертируются в ближайшем электронном обменнике, переводятся на Яндекс-Деньги и выводятся, либо на них покупаются товары в инет магазинах. В общем, неисповедимы их пути... На сегодня я практически ничего не смог сделать, кроме шерсти интернета, подобных тем и колебания воздуха. Вебманевский саппорт отвечает примерно раз в 2.5 часа. Толку от него только в блокировании кошельков, остальное не в его компетенции, а в компетенции арбитража, как он сам обьясняет. Зарегистрировал новый WMID вчера ночью. Сегодня зайти в него уже не получается. Интересное дело - прога просто закрывается сразу как только заходит в онлайн. Поставил самую новую версию - тоже самое. Видимо я ещё не полностью почистился от этой нечисти. Благодарю всех за внимание и надеюсь это будет полезно всем. Если где-то Вы хотите меня поправить или дополнить - милости прошу. Ещё есть очень большая пища для размышлений: вот такая вот статейка из журнала хакер . Была написана давно, но я думаю в ней очень многое ещё актуально.

569

Dreammaker

15 апреля 2010, 21:49

#1051

beginerx:
Как это троян будет обходить ?

вырубит антивирус?

S

88

seamonkey

15 апреля 2010, 21:57

#1052

beginerx:
Про линукс - пока все дововды серьезные - фактически один - надо компилить трояна.
Вопрос - а если троян на яве? кстати вполне реальная вещь, почему бы и нет? тем более что одна из дыр которую юзал вебманевский троян кроме pdf была в яве (не микрософтовской)

1.Жабка есть далеко не во всех машинах.

2.Далеко не везде используется сановская жабка.

3.На чисто джававском коде привелегии процесса выше пользовательского не поднимешь - джава своего рода виртуальная машина. А значит ни кейлоггера тебе, ни прочих системных вкусностей. Такой код может нагадить в пользовательском каталоге, но весьма ограниченно.

4.Нативные экстеншины, серьезно улучшающие возможности джавы, тоже надо компилировать. А компилятор по умолчанию в системе отсутствует.

5.Сама джава в браузерах часто отключена. Апплеты это уже не модно, как и ActiveX.

173

beginerx

15 апреля 2010, 22:21

#1053

a кaк? врoде дaже преслoвутoгo Кaсперa вебмaневский трoян не умеет вырубaть!

(oсoбенo если юзер не aдмин и рaбoтaет Лисoй в кoнтексте не aдминa) Пoхoже чтo aнтвирусники эту прoблему решили

и вирусы этoгo не умеют дaже из пoд aдминa, им прoще прoинстaлить себя руткитoм чем вырубить aнтивирус.

Нo прoцесс инстaлляции руткитa требует сoздaть испoлняемый фaйл нa диске (тaкoвo aПИ виндoв) - a вoт этo сoздaние aнтивирус зaблoкирует.

>>джaвa свoегo рoдa виртуaльнaя мaшинa

a нa виндaх oнa типa не тaк устрoенa?!?! нo дырa былa! и кoмпилить не нaдo!

Тaк чтo линукс прoлетaет сo свистoм!

>>Тaкoй кoд мoжет нaгaдить в пoльзoвaтельскoм кaтaлoге,

a не в этoм ли кaтaлoге и нaхoдятся все те дaнные кoтoрые нaдo слямзить чтoбы эмулирoвaть кипер нa дургoй мaшине?!

ну и виндoвс Вистa и 7 тут ничем не усупaет линуксу (в смысле изoляции oгрaниченных юзерoв)

Я тaк предпoлaгaю чтo мс IE "чaсть системы" тo есть егo кoд имеет прaвa дaже выше aдминских пoтoму тaк oпaсны дыры в нем.

>>>Скорость и Реакция<<< (https://vk.com/app4629907 ): онлайн тренировка скорости и времени реакции.... (https://vk.com/app4612117 )... (https://vk.com/club18740762 ).

D

0

dihlofoss

15 апреля 2010, 22:41

#1054

seamonkey, если вам интересно,по поводу "виртуальной Убунту" под виндой.Общий буфер обмена можно выключить в свойствах виртуальной машины.Перехват https перестает работать если

перевести сеть в режим моста,там же.Так что в качестве дополнительной защиты оказалось вполне годно,в онлайн банки теперь из под нее хожу.

Dreammaker:
Кажется я понял почему Slavomir так против Linux'а выступает - он продаёт программу для вебмастеров, которая работает под виндой.

Не,по моему он просто упертый дурак...

Slavomir:

Вот именно, если наиболее денежные пользователи ломанутся на Линукс, они перестанут быть "неуловимыми Джо".

Slavomir:
Только по причине, что Линукс не распространен в качестве десктопной системе. Займите хотя бы 10% доскотопов и трояны всенепременно появятся. Пока же пользователи Линукс те самые "неуловимые Джо", но защищенностью здесь и не пахнет.

Какая ,нахрен, разница по какой причине для Линукс нет троянов? Какая разница ,что будет когда он займет 10% десктопов? Трояны и вирусы для Linux не найдены до сих пор- вот все что имеет значение для человека решившего озаботится безопасностью сегодня,а не тогда когда "денежные пользователи ломанутся" или "он займет 10% десктопов".

eTarget 2011:Панельная дискуссия «Стратегия eTarget 2011: Круглый стол Могут ли «плохие» входящие

35

PRelude

15 апреля 2010, 22:50

#1055

Slavomir:

Я не против Линукса. Если хватает квалификации по его настройке использованию - вперед. Я против насаждения новых вредных мифов фанатиками, не понимающими, что творят.

Так и не понял из продолжающегося холивара, какой такой особой квалификацией должен обладать юзер для настройки линукса. Разница, которая мне сразу бросилась в глаза, это то, что в Fedora постоянно надо вводить root пароль, чтобы подтвердить установку чего-то или зайти в какие-то административные панельки, в виндос такого насилия не припомню. Софт скачивается из репозитариев федоры и еще ряд доверенных репозитариев можно подключить. В графическую среду под рутом не пускают по умолчанию, или я что-то не так делаю. Ничего записать и исправить в системных файлах в графической среде не получается, все действия только под рутом в командной строке. Интересно как вообще будет работать некий троян под Fedora.

Видимо подгрузят .rpm файл при заходе на страницу с трояном, и вылезет табличка с предложением ввести рут пароль, чтобы его установить, а до этого еще всплывет сообщение, что софт похоже не из доверенного источника. Или может быть сразу скачаются исходники с инструкциями по установке трояна. Единственное, на что обратил внимание - нужно отключить удаленный доступ по SSH, а то будут наверное брутфорсить как выделенный сервер. Создается впечатление, что загрузить троян в линукс еще надо суметь, и надежда у хакеров должна быть прежде всего на уязвимости в каких-то сервисах, при этом обновления в федоре предалагется загружать почти каждый день.

Дистрибутивов в этом классификаторе 311

http://distrowatch.com/stats.php?section=popularity

Если не считать клонов, основанных на популярных дистрибутивах, то штук 50 со своими заморочками наберется. Для 32 и 64 битных систем нужны свои пакеты. Получается, что хакерам надо 100 пакетов заготовить под каждую систему, и еще исходники, чтобы окучить 10% пользователей с системами отличными от виндос. Я думаю это за пределами человеческих возможностей, если только этим не занимается банда из нескольких десятков человек.

S

88

seamonkey

15 апреля 2010, 23:12

#1056

beginerx:

a нa виндaх oнa типa не тaк устрoенa?!?! нo дырa былa! и кoмпилить не нaдo!
Тaк чтo линукс прoлетaет сo свистoм!

))))) Возможности интеграции жабки с системой под linux и win32 сильно отличаются. И есть много java-приложений которые работают только на винде. Кроме того, вы точно уверены, что внутри jar-файлов виндячих джава-вирусов не было dll-ек? Насколько я помню, там использовались нативные экстеншины.

Ну а чтобы нарыть сертификаты в хранилище FF - нужен еще и кейлоггер. Или вы без пароля храните сертификаты?

Вообще, вирмейкеры для десктопов жабку не пользуют. Это актуально для мобильников:

http://blog.natelefon.ru/2006/03/01/ostorozhno-java-virus-kradet-bablo/

seamonkey добавил 16.04.2010 в 03:23

dihlofoss:
seamonkey, если вам интересно,по поводу "виртуальной Убунту" под виндой.Общий буфер обмена можно выключить в свойствах виртуальной машины.Перехват https перестает работать если перевести сеть в режим моста,там же.

Спасибо, насчет https перехвата поучительно.

Кстати, дополнительная фишка - если проц интеловский и имеет IntelVT, то виртуалка использует аппаратную виртуализацию, что дополнительно улучшает изолированность guest-системы, плюс повышает производительность. Под гостевую систему выделяется одно или два ядра процессора. Правда эта возможность есть преимущественно в Core2Quad процах и лишь в некоторых Core2Duo.

107

Slavomir

16 апреля 2010, 04:56

#1057

Dreammaker:
что ж тогда из себя представляет винда, если Google отказывается от неё в пользу такой дырявой ОСи? :)

Сдается мне, что это решение совершенно не техническое, а политическое.

Dreammaker:
Кстати, и Приватбанк украинский перешёл на линукс (кажется убунту) уже с год наверное.

И что из этого следует?

Slavomir добавил 16.04.2010 в 09:00

PRelude:
Так и не понял из продолжающегося холивара,

А с чего вы решили, что это холивар? Рефлекс спинного мозга сработал?

PRelude:
какой такой особой квалификацией должен обладать юзер для настройки линукса.

Боюсь, что уже и не поймете, пока вас не научат горьким опытом.

Вакансии удаленной работы (http://www.telejob.ru) Найди удаленного исполнителя (http://www.telejob.ru)

ZR

51

zahosti.ru

16 апреля 2010, 05:17

#1058

Slavomir:
Сдается мне, что это решение совершенно не техническое, а политическое.
И что из этого следует?
Боюсь, что уже и не поймете, пока вас не научат горьким опытом.

Принципиальная разница между Виндой и Линуксом в том, что Виндоус легко трояница и массово, в Linux к каждому десктопу нужен индивидуальный подход для взлома,и только потом когда получили рута уже инсталлировать с правами администратора бэкдоры. А получить рута ручками, гораздо сложнее, чем вставить ифрейм на порнушнике, с инсталом трояна под Винду.

zahosti.ru (http://www.zahosti.ru) - надежный дешевый хостинг

569

Dreammaker

16 апреля 2010, 05:58

#1059

Slavomir:
Сдается мне, что это решение совершенно не техническое, а политическое.

Политическое не политическое факт есть факт - Google по его словам переходит на Linux из-за вопросов безопасности.

Slavomir:
И что из этого следует?

Что это им экономически выгодней.

_

381

_SP_

16 апреля 2010, 07:41

#1060

Причину несложно понять - вы разработчик/админ под win32 (на бобике или дотнете - это не важно). Как любой человек, вы инертны и вложив n-ое количество лет в изучение платформы, вы хотите иметь стабильность в заработке "куска хлеба". В данной ситуации, когда замаячили неприятные проблемы с виндой, вы подсознательно всеми правдами и неправдами защищаете свой заработок. Причем реальной опасности для него нет Вас тревожит сама идея, что ваша платформа потенциально может оказаться проигрышной. Только и всего. Успокойтесь, Винды на ваш век хватит

Вы ХЕРОВЫЙ экстрасенс.

Я - разработчик и админ под *никс системы, в данный момент под федору... в основном.

Т.е. это именно то, за что мною получается 80% денег.

Хорошо нанизанная "теория заговора" как видим легко рассыпается об факты.

Ну зачем, зачем вы придумываете... ?

_SP_ добавил 16.04.2010 в 11:51

Masaco:
Давай ради теста сделаем вот что,только не в теории,а на практике.

Я делаю новый ВМИД с персом,
публикую его или номера его кошельков здесь,на ачате,на ксакепе ,еще где то,где ты скажешь,
загоняю туда 20 000вмр,
говорю мыло к какому он привязан,
данные паспорта владельца
и ИП с которых разрешен доступ к киперу.

Ставлю его на отдельный ноут,с лицензионным Касперским и Виндой ХР,с подтверждением всех операций енумом,и хожу с него исключительно платить или принимать платежи с или на ВМ+ банки

Каждый день делаю скрины,чтобы было видно что каждый день этим кипером пользуются и движение средств есть и жду полгода.

Кто ломанет- претензий по 20ке иметь не буду и публично раскаюсь на всех форумах,а тебе доплачу еще 20квмр.

Никто не ломанет- ты мне отдашь 3 х 20 000вмр.

Если изначальная сумма в 20к кажется большой или маленькой,предложи свою.

Готов?

Вы идиот ?

Умея "взламывать" любую удаленную систему я мог бы заработать не жалкие 20к рублей, а в сотни и тысячи раз больше.

Разницу между "вижу дыры" и "могу ими воспользоваться" вы я вижу не понимаете ?

Правда, или прикидываетесь ?

Лично я НЕ мошенник, я НЕ специализируюсь на воровстве денег, и для меня разработка всей технологии за 20к рублей кажется смешной. Лично я оценил бы подобную технологию уж не менее чем в 20 миллионов рублей. И думаю это нижняя оценка.

ЗЫ. Да, и еще... я НЕ школьник, меня "слабо" не волнует. Абсолютно.

ЗЫЫ. Хотя... за 20-30к баксов можем пообщаться, только с вас еще паспортные данные для

оценки возможности "взлома". Если за вами "никого нет", то это вполне реально.

Думаю 2-3 удара ключом по голове, и вы сами всё расскажете. В крайнем случае

паяльник в жопу. Нет - это не предложение, это - описание того, как подобные

проблемы решают умныелюди, которым нужен результат, а не школьники.

ЗЫЫЫ. Господи... испугал ежа голой жопой... 20к рублей обещал "отдать".

На велик что-ли не хватает ?

Как снизить ДРР до 4,38% и повысить продажи с помощью VK Рекламы

VK приобрела 70% в структуре компании-разработчика red_mad_robot

У кого украли Webmoney и доступ к ним - давайте разберемся наконец-то?