Если вы не понимаете механизм работы руткита под виндами, то вам нужно что-то копмилить под каждую тачку - Финансы

У кого украли Webmoney и доступ к ним - давайте разберемся наконец-то?

Spowen · 2020-07-28T15:09:42.0000000Z

Я к сожалению также, как и многие люди в последнее время ( Аналогичный топик , ещё топик ) попал под раздачу, а точнее - наоборот. В общем, очень неприятнейшая ситуация, как и у многих людей, пострадавших от злостного трояна (с большой долей вероятности - это вот эта хренотень ). Рассказываю свою историю как было дело: В пятницу вечером как обычно просматривал на Торрентах (Rutracker.org) новинки. Решил поставить на закачку несколько видео. В это время как обычно трепался в аське с другом. Для справки: на машине стоит NOD32, Outpost Firewall, Spyware Doctor - все с последними базами и постоянными обновлениями. Ничего не подозревающий я дальше просматривал скрины из файлов, которые предлагались для скачивания на торрентах. Все бы хорошо, но вдруг ни с того ни с сего выскакивает окошко: "Ошибка vlioey.exe" - типа как что-то запустилось и неудачно, или просто отрыгнулось, но факт я запомнил - ещё сразу загуглил и пошутил с другом в аське, что подхватил виря. NOD, Outpost и Spyware Doctor МОЛЧАЛИ. В гугле - 0 результатов по данному файлу или процессу. Эта ошибка выпала при заходе на сервис картинок Fastpic.ru. Данный ресурс недавно примкнул к Torretns.ru как новый сервис по хранению картинок. Посещалка очень большая. Но сейчас мы двигаемся дальше по хронологии моих событий... Далее я естественно заподозрил неладное, перезагрузил машину и просканировался полностью. Никто ничего не нашел, все 3 проги. (в аутпосте тоже есть функция сканирования на Spyware). Двигаемся дальше - никаких подозрительных активностей, никаких фактов того, что это действительно был вирус... Все это заставило меня спокойно продолжить работать на машине. Webmoney Keeper запускал, оплачивал счета - все было хорошо. После того, как поработал в программе, успешно закрыл ее и отправился спать. На выходных машина обычно используется в роли мультимедийного центра, по этому назначению и использовалась, инет был активен. Никаких подозрений не было и тогда. В воскресенье вечером опять начал работать, включаю кипер - и вот тут-то у меня добавилось седых волос. "Серьёзная ошибка при выполнении команды". Потом и второе окошко "Некорректный идентификатор или пароль" . Ну думаю, всякое бывает, наверное глюк. Перепробовал миллиард и один вариант, опять добавил себе седых волос, подставил файл ключей и пароль к нему - все срабатывает, но окно все равно не исчезает. Пошел гуглить... и нагуглил естественно темки у меня взломали Webmoney , взломали Webmoney и ещё много другого (можно ввести в поисковик по ключам). Прочитав понял, что вполне возможно это троян, ссылку на который я давал выше. Но стучать человеку, продающему его я ещё не пробовал, думаю бесполезно. Но это ещё далеко не конец истории. Я огорчился и на фоне огорчения стал думать о дальнейшей безопасности. Потому как пока я не знаю деньги ушли из кошельков или нет - в саппорте Webmoney на этот вопрос не отвечают, а арбитраж очень много дней в неделю отдыхает, включая 8 марта. Насчет самой системы - отдельный разговор. Неужели нельзя сделать саппорт 24/7 и дать все полномочия саппорту именно по подобным вопросам. И собственно забросило меня на Rutracker.org - стал я смотреть на дистрибутивы Линукса, на их красоту и неприступность и фантазировать о том, как же безопасно мне будет работать на линуксе. И что вы думаете? В это самое время, когда я смотрел очередной скриншот, опять же с сайта Fastpic.ru - ещё одно "чудо" пыталось пробраться, на этот раз NOD отбил угрозу, но аналогично была ошибка открытия какого-то экзешника, сейчас напишу даже какого, но думаю даже имя экзешника генерируется по случайности - этим обьясняется молчание гугла по этому поводу. Нет, к сожалению имя файла у меня не сохранилось, зато сохранилась прямая ссылка, по которой я получил "в лоб": http://fastpic.ru/view/3/2009/1023/532c655b7bfc306c3822f0acdcf014ed.png.html - надеюсь ходить туда Вы не будете без соответствующего образования/обмундирования и аммуниции ибо на данный момент я уверен эта ссылка представляет опасность до сих пор. Я бы вообще запретил в фаерволе этот хост - fastpic.ru. Это не антиреклама для него, это истина, которую мы ещё обязательно обсудим. Смысл из всего, что связано с этим сайтом следующий: Либо специально, либо случайно, либо ещё как (взломали сайт например) на этом сайте висит какой-то "волшебный" поп-ап или поп-андер, или его разновидность. Люди зарабатывают на рекламе партнерками, которые не всегда белые. Чаще всего - серые или черные. И крутиться в этих партнерках может хоть сам дьявол. Смысл улавливаете? Я отпишу людям из Fastpic.ru и наверное дам ссылку на эту тему. Сегодня в нашем жестоком мире нельзя верить никому, поэтому я не могу быть уверен в том, что это случайность, или "темная" партнерка, используемая на сайте. Вполне возможно, что сами владельцы занимаются подобной хренью. Но это естественно, предположение. На данный момент я хочу, чтобы те, кто пострадал таким же образом обьединили свои усилия и информацию, которую мы имеем воедино. Буду рад, если кто-то также проявит инициативу и предложит что делать дальше. На данный момент мои действия и советы тем, кто попался на это: Если попытаться словить за яйца (очень хочется!) обидчиков, то сейчас стоит задача: выяснить откуда ноги растут. Поэтому как минимум нужно пообщаться с представителями Fastpic.ru. Одновременно с этим писать в саппорт Webmoney и арбитраж. Мой идентификатор заблокировали, но обычный саппорт вообще практически не имеет полномочий. Любому, кто наткнется на подобную ошибку - сразу писать в саппорт чтобы блокировали кошельки на вывод средств. Кроме всего прочего: идентифицировать, что "что-то не в порядке" можно так: Идем в C:/program files/Webmoney/ и ищем такой файлик: inetmib1.dll . Если он находится в директории с Webmoney - это и есть часть трояна. Касперский уже определяет его, как сказали из его техподдержки. Он определяется как: inetmib1.dll - Trojan-Spy.Win32.Wemon.cv На данный момент неизвестно какое количество людей пострадало, но думаю довольно приличное. Здесь просьба отписываться тех, кто пострадал и главное: какие меры уже предпринял, какие результаты. Как правило деньги уводятся в выходные, конвертируются в ближайшем электронном обменнике, переводятся на Яндекс-Деньги и выводятся, либо на них покупаются товары в инет магазинах. В общем, неисповедимы их пути... На сегодня я практически ничего не смог сделать, кроме шерсти интернета, подобных тем и колебания воздуха. Вебманевский саппорт отвечает примерно раз в 2.5 часа. Толку от него только в блокировании кошельков, остальное не в его компетенции, а в компетенции арбитража, как он сам обьясняет. Зарегистрировал новый WMID вчера ночью. Сегодня зайти в него уже не получается. Интересное дело - прога просто закрывается сразу как только заходит в онлайн. Поставил самую новую версию - тоже самое. Видимо я ещё не полностью почистился от этой нечисти. Благодарю всех за внимание и надеюсь это будет полезно всем. Если где-то Вы хотите меня поправить или дополнить - милости прошу. Ещё есть очень большая пища для размышлений: вот такая вот статейка из журнала хакер . Была написана давно, но я думаю в ней очень многое ещё актуально.

569

Dreammaker

16 апреля 2010, 15:15

#1081

Прошла почти неделя после обнародования информации о серьёзной уязвимости в Java Web Start, как компания Sun признала свою ошибку и выпустила экстренный апдейт для Java SE 6.

Остаётся под вопросом, почему они не сделали это сразу, когда специалисты по безопасности (в том числе из Google) уведомили их об обнаружении этой дыры. Неужели обязательно было дождаться появления в Сети первый эксплойтов? Тем более что сам специалист из Google уверяет, что к моменту обнародования информации эксклойты уже существовали, и он был вынужден опубликовать в Сети полную информацию. Тем не менее, Sun поначалу не придала значения этой угрозе.

Плагин Java для браузера после апдейта утратил возможности запуска javaws.exe.

http://habrahabr.ru/blogs/web_security/91207/

S

88

seamonkey

16 апреля 2010, 15:21

#1082

beginerx, судя по вашему посту вы не понимаете механизм работы руткита. Весь смысл руткита заключается в том, чтобы у атакующей стороны появилась возможность выполнить на удаленной машине нативный код под любым, самым бесправным аккаунтом. И в процессе его исполнения за счет дыр в системе получают админские/рутовые привелегии.

Скриптовый код тут не катит - чистая джава, питон, перл, vbs и т.п. не позволят получить такие привелегии. Дыры в браузерах - это наиболее классический путь подбросить код руткита в систему. Различие между Виндой и Линукс в данном вопросе одно - линейка windows совместима по бинарникам, а различные дистрибутивы и даже просто версии дистрибутивов Линукс - несовместимы. В ручном режиме ломаются обе системы на ура. В автоматическом, массовом - только винда.

173

beginerx

16 апреля 2010, 15:27

#1083

a зaчем ручки тo, есть perl, бaтники, явa и тд ничегo кoмпилить не нaдo, для чегo ручки тo ну никaк не пoйму!

Видеo пo взлoму не смешите меня, я уже пoд стoлoм! Вы нaвернoе верите в существoвaние

звездoлетoв и бoев нa блaстерaх ведь видеo пo этoй темaтике тoже дoфигa!

Вoт если бы вы oпубликoвaли пoшaгoвую инструкицю и я ее пoвтрил бы нa свoем ПК тoгдa был бы другoй рaзгoвoр, a тaк типa этo бoльше к Жвaнецкoму или Зaдoрнoву с видеo.

Ну и смехoтвoрнoе oтключение UAC a пoтoм типa oгo все рaбoтaет пoд aдминoм, этo уже прoстo

сумaшествие! Кoнечнo кoгдa у тебя рут тo все рaбoтaет. Кoрoче лaбудa!

-----

Руткит недoстaтoчнo прoстo ввиде фaйлa зaбрoсить нa жесткий диск виндoв (нo дaже с этим oблoм, aвaст-Кoмoдa не дaст прaв нa зaпись). Дaлее егo нaдo инcтaлирoвaть кaк дрaйвер, a тут oпять oблoм, непoдписaнные невзлoмaннoй дo сих пoр цифрoвoй пoдписью Микрoсoфт фaйлы не интaляться кaк нужные руткитoвские дрoвa, дa и прaвa aдминa нужны, oткудa их взять если интернет серфился пoд юзерoм a не рутoм?

---

имхo пoхoже вся эпидемия связaнa с привычкoй людей рaбoтaть в виндaх пoд рутoм и не юзaть дaже бесплaтных эмулятoрoв рутa типa aвaст-Кoмoдo.

>>>Скорость и Реакция<<< (https://vk.com/app4629907 ): онлайн тренировка скорости и времени реакции.... (https://vk.com/app4612117 )... (https://vk.com/club18740762 ).

35

PRelude

16 апреля 2010, 15:31

#1084

beginerx:

точно тоже самое происходит под Вистой или 7 и называется там это не рут а Юзер Аккаунт Контрол. А по сути абсолютно тот же самый контроль рута.

Такое впечатление что Линукс фаны маленько отстали от жизни и просто не работали
еще под Вистой или 7 ;)

Я перешел с висты на федору, чтобы по возможности снизить риск, а не из фанатизма. С висты денег не крали у меня, но крали дважды с windows xp у моих партнеров, был лицензионный KIS. Понимаю, что безопасности не уделяли должного внимания, но после чтения некоторых тем на античате и просмотра интересного видео всякое желание использовать windows пропало, слишком хлопотно получается.

ZR

51

zahosti.ru

16 апреля 2010, 15:43

#1085

beginerx:
а зачем ручки то, есть perl, батники, ява и тд ничего компилить не надо, для чего ручки то ну никак не пойму!

Ну и смехотворное отключение UAC а потом типа ого все работает под админом, это уже просто
сумашествие! Конечно когда у тебя рут то все работает. Короче лабуда!

Вы видимо вообще ни в теме, что и как работает в Linux, а поэтому вам бессмысленно, что либо доказывать.

zahosti.ru (http://www.zahosti.ru) - надежный дешевый хостинг

173

beginerx

16 апреля 2010, 15:44

#1086

тоже самое могу сказать про ваше знание виндов!

...........

из всего обсуждения, типа да нетбук с линуксом за 9 тыс руб, ломать не будут только потому что мало таких,

а не потому что нет дыр и не потому что надо что-то копмилить под каждую тачку. Дыры есть, повысить привилегии можно,компилить ничего не надо, но пока у хакеров руки не дошли и скоро вряд ли дойдут.

руткит под виндами имеет другие цели чем под линуксом.

S

88

seamonkey

16 апреля 2010, 16:07

#1087

beginerx:
тоже самое могу сказать про ваше знание виндов!
...........

Понимаете, beginerx, существуют люди, которые кроме винды в других системах никогда не работали. Но практически несуществует пользователей Линукс, которые не сталкивались плотно с виндой (если и есть, то это экзотика). По вашим постам видно, что ваше мнение про Линкус крайне расплывчатое, т.е. опыт работы и понимание системы отсутствует. Плохого в этом ничего нет - вам он просто не нужен для работы. Но вот отвечать на ваши посты... гм, ну не начинать же ту ликбез "Linux from scratch".

Касательно пошаговой инструкции - она простая:

1.Активно посерфите на машине с win7 и кипером, которая настроена по вашему мнению правильно, по всяким файлопомойкам, торрентам и т.п. Можно из топика взять адреса, замеченные в заражении.

2.Подождите выходных.

3.Проверьте сохранность wm.

100% гарантии конечно дать нельзя, т.к. слишком много побочных факторов, но вероятность потерять wm достаточно велика.

Кстати, интересно было бы повторить такой же эксперимент с Ubuntu+KeeperLight. Причем Ubuntu с дефолтными настройками.

seamonkey добавил 16.04.2010 в 20:10

beginerx:
Дыры есть, повысить привилегии можно,компилить ничего не надо

Чесслово, уже устал объяснять. Поверьте на слово - руткиты компилить надо. Если сомневаетесь - найдите пример руткита на скрипте, любом.

173

beginerx

16 апреля 2010, 16:17

#1088

не-е-е-е с 7 под ограниченным юзером пока все Ок, каждый день лазаю.

Кроме того кипер сам дыра большая, мы же обсждаем кто лучше винда или линукс

а не кто лучше кипер или лайт? И чтобы кипер в ХР сломать не нужен даже админ.

Кстати лайт дыра, не буду тут супер идеи светить-выдавать, но линукс не спасет!

Пока не вижу сильных проблем только если прикручен енум...

104

_vb_

16 апреля 2010, 17:15

#1089

zahosti.ru:
Зайдя на сайт с ифреймом, файло которое вам подадут на блюдечке, будет способно запуститься под вашу ОС. В случае Linux нет.

Поставить нужное файло в соответствующую ветку при определении юзер-агента - просто вопрос заинтересованности редисок. Здесь, конечно, неуловимые джо находятся в выигрышном положении.

Но с этим никто и не спорит.

zahosti.ru:

Чтобы было более понятно, если смотрели День независимости, как там занесли вирус на инопланетный корабль, то вот вы считаете, что это возможно, реально это сделать в принципе нельзя было.

Да бросьте Вы. ОС выбирают прежде всего из-за наличия доступного для нее софта, способного решать задачи пользователя. А не из-за того, что для нее нет троянов.

Саратовская фракция серча (). Давайте посчитаемся.

ZR

51

zahosti.ru

16 апреля 2010, 17:24

#1090

_vb_:

Да бросьте Вы. ОС выбирают прежде всего из-за наличия доступного для нее софта, способного решать задачи пользователя. А не из-за того, что для нее нет троянов.

Бросьте вы, сейчас есть нормальные десктопные дистрибутивы Linux, тот же Ubuntu, а уж если нужно что-то под винду запустить wine никто не отменял.

Google: E-E-A-T не является фактором ранжирования

Что делать, чтобы попасть в ответы Google Bard

У кого украли Webmoney и доступ к ним - давайте разберемся наконец-то?