Если вы не хотите быть ограбленным, то передвигайтесь под землей - Финансы

У кого украли Webmoney и доступ к ним - давайте разберемся наконец-то?

Spowen · 2020-07-28T15:09:42.0000000Z

Я к сожалению также, как и многие люди в последнее время ( Аналогичный топик , ещё топик ) попал под раздачу, а точнее - наоборот. В общем, очень неприятнейшая ситуация, как и у многих людей, пострадавших от злостного трояна (с большой долей вероятности - это вот эта хренотень ). Рассказываю свою историю как было дело: В пятницу вечером как обычно просматривал на Торрентах (Rutracker.org) новинки. Решил поставить на закачку несколько видео. В это время как обычно трепался в аське с другом. Для справки: на машине стоит NOD32, Outpost Firewall, Spyware Doctor - все с последними базами и постоянными обновлениями. Ничего не подозревающий я дальше просматривал скрины из файлов, которые предлагались для скачивания на торрентах. Все бы хорошо, но вдруг ни с того ни с сего выскакивает окошко: "Ошибка vlioey.exe" - типа как что-то запустилось и неудачно, или просто отрыгнулось, но факт я запомнил - ещё сразу загуглил и пошутил с другом в аське, что подхватил виря. NOD, Outpost и Spyware Doctor МОЛЧАЛИ. В гугле - 0 результатов по данному файлу или процессу. Эта ошибка выпала при заходе на сервис картинок Fastpic.ru. Данный ресурс недавно примкнул к Torretns.ru как новый сервис по хранению картинок. Посещалка очень большая. Но сейчас мы двигаемся дальше по хронологии моих событий... Далее я естественно заподозрил неладное, перезагрузил машину и просканировался полностью. Никто ничего не нашел, все 3 проги. (в аутпосте тоже есть функция сканирования на Spyware). Двигаемся дальше - никаких подозрительных активностей, никаких фактов того, что это действительно был вирус... Все это заставило меня спокойно продолжить работать на машине. Webmoney Keeper запускал, оплачивал счета - все было хорошо. После того, как поработал в программе, успешно закрыл ее и отправился спать. На выходных машина обычно используется в роли мультимедийного центра, по этому назначению и использовалась, инет был активен. Никаких подозрений не было и тогда. В воскресенье вечером опять начал работать, включаю кипер - и вот тут-то у меня добавилось седых волос. "Серьёзная ошибка при выполнении команды". Потом и второе окошко "Некорректный идентификатор или пароль" . Ну думаю, всякое бывает, наверное глюк. Перепробовал миллиард и один вариант, опять добавил себе седых волос, подставил файл ключей и пароль к нему - все срабатывает, но окно все равно не исчезает. Пошел гуглить... и нагуглил естественно темки у меня взломали Webmoney , взломали Webmoney и ещё много другого (можно ввести в поисковик по ключам). Прочитав понял, что вполне возможно это троян, ссылку на который я давал выше. Но стучать человеку, продающему его я ещё не пробовал, думаю бесполезно. Но это ещё далеко не конец истории. Я огорчился и на фоне огорчения стал думать о дальнейшей безопасности. Потому как пока я не знаю деньги ушли из кошельков или нет - в саппорте Webmoney на этот вопрос не отвечают, а арбитраж очень много дней в неделю отдыхает, включая 8 марта. Насчет самой системы - отдельный разговор. Неужели нельзя сделать саппорт 24/7 и дать все полномочия саппорту именно по подобным вопросам. И собственно забросило меня на Rutracker.org - стал я смотреть на дистрибутивы Линукса, на их красоту и неприступность и фантазировать о том, как же безопасно мне будет работать на линуксе. И что вы думаете? В это самое время, когда я смотрел очередной скриншот, опять же с сайта Fastpic.ru - ещё одно "чудо" пыталось пробраться, на этот раз NOD отбил угрозу, но аналогично была ошибка открытия какого-то экзешника, сейчас напишу даже какого, но думаю даже имя экзешника генерируется по случайности - этим обьясняется молчание гугла по этому поводу. Нет, к сожалению имя файла у меня не сохранилось, зато сохранилась прямая ссылка, по которой я получил "в лоб": http://fastpic.ru/view/3/2009/1023/532c655b7bfc306c3822f0acdcf014ed.png.html - надеюсь ходить туда Вы не будете без соответствующего образования/обмундирования и аммуниции ибо на данный момент я уверен эта ссылка представляет опасность до сих пор. Я бы вообще запретил в фаерволе этот хост - fastpic.ru. Это не антиреклама для него, это истина, которую мы ещё обязательно обсудим. Смысл из всего, что связано с этим сайтом следующий: Либо специально, либо случайно, либо ещё как (взломали сайт например) на этом сайте висит какой-то "волшебный" поп-ап или поп-андер, или его разновидность. Люди зарабатывают на рекламе партнерками, которые не всегда белые. Чаще всего - серые или черные. И крутиться в этих партнерках может хоть сам дьявол. Смысл улавливаете? Я отпишу людям из Fastpic.ru и наверное дам ссылку на эту тему. Сегодня в нашем жестоком мире нельзя верить никому, поэтому я не могу быть уверен в том, что это случайность, или "темная" партнерка, используемая на сайте. Вполне возможно, что сами владельцы занимаются подобной хренью. Но это естественно, предположение. На данный момент я хочу, чтобы те, кто пострадал таким же образом обьединили свои усилия и информацию, которую мы имеем воедино. Буду рад, если кто-то также проявит инициативу и предложит что делать дальше. На данный момент мои действия и советы тем, кто попался на это: Если попытаться словить за яйца (очень хочется!) обидчиков, то сейчас стоит задача: выяснить откуда ноги растут. Поэтому как минимум нужно пообщаться с представителями Fastpic.ru. Одновременно с этим писать в саппорт Webmoney и арбитраж. Мой идентификатор заблокировали, но обычный саппорт вообще практически не имеет полномочий. Любому, кто наткнется на подобную ошибку - сразу писать в саппорт чтобы блокировали кошельки на вывод средств. Кроме всего прочего: идентифицировать, что "что-то не в порядке" можно так: Идем в C:/program files/Webmoney/ и ищем такой файлик: inetmib1.dll . Если он находится в директории с Webmoney - это и есть часть трояна. Касперский уже определяет его, как сказали из его техподдержки. Он определяется как: inetmib1.dll - Trojan-Spy.Win32.Wemon.cv На данный момент неизвестно какое количество людей пострадало, но думаю довольно приличное. Здесь просьба отписываться тех, кто пострадал и главное: какие меры уже предпринял, какие результаты. Как правило деньги уводятся в выходные, конвертируются в ближайшем электронном обменнике, переводятся на Яндекс-Деньги и выводятся, либо на них покупаются товары в инет магазинах. В общем, неисповедимы их пути... На сегодня я практически ничего не смог сделать, кроме шерсти интернета, подобных тем и колебания воздуха. Вебманевский саппорт отвечает примерно раз в 2.5 часа. Толку от него только в блокировании кошельков, остальное не в его компетенции, а в компетенции арбитража, как он сам обьясняет. Зарегистрировал новый WMID вчера ночью. Сегодня зайти в него уже не получается. Интересное дело - прога просто закрывается сразу как только заходит в онлайн. Поставил самую новую версию - тоже самое. Видимо я ещё не полностью почистился от этой нечисти. Благодарю всех за внимание и надеюсь это будет полезно всем. Если где-то Вы хотите меня поправить или дополнить - милости прошу. Ещё есть очень большая пища для размышлений: вот такая вот статейка из журнала хакер . Была написана давно, но я думаю в ней очень многое ещё актуально.

O

1

Osindi

22 марта 2010, 14:11

#461

Новая напасть, при попытке заверить нотариально заявление на восстановление контроля, нотариус сказал что: Заявление должно быть на официальном бланке.

Кто востонавливал доступ с Украины, помогите поожалуйста- как обойти проблему?

208

vint

22 марта 2010, 14:14

#462

Osindi:
Новая напасть, при попытке заверить нотариально заявление на восстановление контроля, нотариус сказал что:
1. Заявление должно быть на официальном бланке.
2. заявление должно быть на государственном (украинском) языке.

Кто востонавливал доступ с Украины, помогите поожалуйста- как обойти проблему?

А в чем проблема? :)

150 грн нотариусу за услуги и он все сам сделает согласно требованиям Закона.

104

_vb_

22 марта 2010, 14:47

#463

beginerx:

Рекoмендaция для 32 битнoй ХР рaбoтaть пoд юзерoм, a не aдминoм не прoкaтит, трoян лезет в Лoкaл-Юзер и oттудa
зaпускaется, и пoтoму ему пoфиг имеет прaвa юзер-aдмин или прoстo юзер.

Да на здоровье, пускай запускается. Работать то он все равно будет до первого обновления антивируса и только под своим аккаунтом, не имея доступа к данным системного и других аккаунтов (вебменевого в частности).

_vb_ добавил 22.03.2010 в 17:54

seamonkey:

В машину (виртуальную, реальную - не важно) троян может попасть либо из инета, либо со сменных носителей типа флешки. Для того система и изолируется, чтобы исключить занос трояна. И пользоваться ею нужно ТОЛЬКО для переводов WM.

Чем это лучше варианта с отдельным ноутом или отдельным ограниченным аккаунтом на обычной винде?

seamonkey:

Работает нормально. Пользуюсь с 2005го года. Функционал все время WM программеры улучшают и совершенствуют.

Замечательно. Можно зафиксировать,что тем, кто желает продолжить использование кипер-лайта с авторизацией X.509, можно рекомендовать использовать такую схему из-по линукс.

Саратовская фракция серча (). Давайте посчитаемся.

O

1

Osindi

22 марта 2010, 15:04

#464

vint:
А в чем проблема? :)
150 грн нотариусу за услуги и он все сам сделает согласно требованиям Закона.

Не захотела.... Хотя, принесу-ка я ей заявление на флешке. Пусть печатает на официаьном бланке.

S

88

seamonkey

22 марта 2010, 15:36

#465

_vb_:

Чем это лучше варианта с отдельным ноутом или отдельным ограниченным аккаунтом на обычной винде?

От варианта нетбука отличается тем, что покупать ничего не нужно - софварное решение.

А отдельный акк на винде - ни в коем разе! Это все та же песочница. В трояне может быть виндовый руткит, повышающий его привелегии до администраторских. И в таком случае ему плевать на полиси и прочие пляски с бубнами.

173

beginerx

22 марта 2010, 18:51

#466

_vb_:
Дa нa здoрoвье, пускaй зaпускaется. Рaбoтaть тo oн все рaвнo будет дo первoгo oбнoвления aнтивирусa и тoлькo пoд свoим aккaунтoм, не имея дoступa к дaнным системнoгo и других aккaунтoв (вебменевoгo в чaстнoсти).

ты невнимaтельнo прoчитaл мoй пoст. В юзерскую лoкaль зaгрузиться лoaдер,

(прaвильный лoaдер не детектируется aнтивирусaми т.к. кoдирoвaн и мoрфирoвaн в мoмент зaгрузки с серверa через эксплoйт,

т.е. пo фaкту индивидуaлен для кaждoгo aтaкуемoгo ПК)

У меня есть зaрaженный кoмп с тaким лoaдерoм и руткитoм, дo сих пoр oни не детектируется

ни oдним aнтивирусoм (хoтя oбнoвляю бaзы нескoлькo рaз в день), детектируются трoянчики, чтo oн время oт времени пoдгружaет.

Нo их удaлять беспoлезнo, oни снoвa пoдгружaются, фaйрвoл не пoмoжет, инет сaдируется

oт имени эксплoрерa (или мэйл.ру aгентa или aськи или скaйпa и тд хрен зaблoкируешь).

При свoем зaпуске лoaдер зaпишет руткит в /систем32 (или windows) кoтoрый oткрыт для юзерoв.

(тoлькo для спец oгрaниченнoгo юзерa зaкрыт, дык ктo ж пoд ним рaбoтaет?!) или прoпишется пaпку oл-юзерс (oткытa для всех)

Детaльнo с oгрaничением прaв пoльзoвaтеля группы Юзер не рaзбирaлся нo пoхoже их дoстaтoчнo для инстaляции руткитa.

Крoме тoгo oбычен случaй рaбoты пoд aдминoм. Ну a пoсле зaпускa руткит сделaет себя невидимым

для всех в тoм числе и aнтивирусoв. Этo реaльнoсть, oни этo к сoжaлению умеют. Пaпкa с Webmoney с киперoм пo умoлчaнию дoступнa всем не тoлькo aдмину, т.е. в этoм случaе и руткитa не нaдo, прoстo взял все, чтo нaдo (или пoдменил dll), oтпрaвил хaкеру и сaмoзaтерся. И пoтoм сиди лoмaй гoлoву кaкже тaк все случилoсь и пoчему aнтивирусы ничегo не нaхoдят?

:-)

Пoвтoрюсь - oптимaльнo нa мoй взгляд сейчaс перехoд с 32 бит нa 64, этo лучшее, чтo мoжнo сделaть нa сегoдня.
Руткиты aвтoмaтoм исключaются (нет цифрoвoй пoдписи). UAC - пoкaжет пoпытки зaтрoянить систему без руткитa.

Для 32 битнoй ХР (есть и 64 битнaя ХР) - oптимaльнo Avast с ВКЛ зaпретoм сoздaния-мoдификaции всех рaзнoвиднoстей

испoлняемых фaйлoв, удaления IE и oперы (дырявые), oтключить aвтoaпдейт виндoв (ну егo и тaк aвaст зaблoкирует).

Если пaрaнoить пo мaксимуму тo никaких aсек-мэйл-aгетoв-яндексoв-квипoв и тд. Нo если стaвить aвaст нa уже зaрaженную

систему тo ктo егo знaет... тoгдa гaрaнтий нет...

>>>Скорость и Реакция<<< (https://vk.com/app4629907 ): онлайн тренировка скорости и времени реакции.... (https://vk.com/app4612117 )... (https://vk.com/club18740762 ).

104

_vb_

22 марта 2010, 18:58

#467

seamonkey:
От варианта нетбука отличается тем, что покупать ничего не нужно - софварное решение.

Решение с нетбуком дешевле тех ресурсов, которые нужны для нормальной работы линуксового гуя (гном или кде - не знаю, что Вы используете) + ресурсов на виртуальную машину KVM.

seamonkey:

А отдельный акк на винде - ни в коем разе! Это все та же песочница. В трояне может быть виндовый руткит, повышающий его привелегии до администраторских. И в таком случае ему плевать на полиси и прочие пляски с бубнами.

Выделил ключевой момент. Вероятность его появления в паблике до выпуска мсовсцами соответствующей затычки существенно меньше вероятности подхватить аналогичную хню на линуксе.

А в жизни вообще, да, все может быть.

_vb_ добавил 22.03.2010 в 22:02

beginerx:
запишет руткит в /систем32 (или windows) который открыт для юзеров.
(только для спец ограниченного юзера закрыт, дык кто ж под ним работает?!)

Вот под ним и предлагается работать.

Кстати, во всех конторах, где имеются вменяемые админы, юзеры работают именно под такими аккаунтами. И сейчас я Вам пишу, точно с такого же аккаунта ;)

107

Slavomir

22 марта 2010, 19:25

#468

Знаете, на что похожи все эти рекомендации?

Если вы не хотите быть ограбленным, то передвигайтесь только под землей, роя проход саперной лопаткой. Образовавшийся за собой проход зарывайте и утрамбовывайте, чтобы никто вас не обнаружил и не догнал. В избежании травм от встреченных электрокабелей, передвигайтесь под землей в герметичном резиновом костюме толщиной не менее 3 см. Противогаз защитит вас от утечек газа и ядовитых испарений.

Почему пользователи должны отказываться от нормальной комфортной работы из-за того, что программисты WebMoney не могут накписать нормальное безопасное приложение?

Вакансии удаленной работы (http://www.telejob.ru) Найди удаленного исполнителя (http://www.telejob.ru)

S

88

seamonkey

22 марта 2010, 19:42

#469

_vb_:
Решение с нетбуком дешевле тех ресурсов, которые нужны для нормальной работы линуксового гуя (гном или кде - не знаю, что Вы используете) + ресурсов на виртуальную машину KVM.

Врядли. Для работы Firefox в виртуализированном Linux на виртуалку достаточно 512 мтров памяти выделить. Т.е. 1 гб оперативки хватает. Если у вас сейчас меньше - докупить не вопрос, гигабайтные планки (пусть даже на 2 гб) стоят в десять раз меньше чем нетбук. За цену нетбука можно проапгрейдить стационарный комп до Core2Quad + 4 Gb RAM и еще деньги останутся.

Кстати, есть дистрибутивы Линукс крайне скромных размеров - напр. Damn Small Linux, всего 50 мегабайт. И памяти для работы ему нужно только 32 метра. Любая машина потянет в виртуалке :) А Firefox в нем есть.

_vb_:
Выделил ключевой момент. Вероятность его появления в паблике до выпуска мсовсцами соответствующей затычки существенно меньше вероятности подхватить аналогичную хню на линуксе.

мнэээ.... вы не понимаете отличия. Руткит в юниксах нужно компилить на той машине, на которой будет атака. Поскольку у всех разные параметры и версии ядра. Для этого нужно установить компилятор и хедер-файлы ядра - это реально дофига и в фоновом режиме троян пару сотен метров не качнет. Руткит для юникса - это метод взлома серверов вручную, когда создается модель сервера в виртуалке, в нем собирается индивидуальный руткит и только тогда скомпиленный руткит заливается на сервер. Это подходит для ручного взлома хостингов, но не для трояна, потрошащего десктопные машины.

А вот винда у вас у всех одинаковая. А раз виндовые десктопы инкубаторские - это самое оно.

Почитайте:

http://ru.wikipedia.org/wiki/%D0%A0%D1%83%D1%82%D0%BA%D0%B8%D1%82

http://www.securitylab.ru/contest/212106.php

Кстати, мсявщики порой месяцами не затыкают дыры. Причем это те, которые опубликованы. А ситуация такова, что после обнаружения дыра на винде где-то год в "коммерческой эксплуатации" троянами, потом публикуется инфа про уязвимость, и лишь после этого МС заделывает брешь.

173

beginerx

22 марта 2010, 19:42

#470

_vb_ подскажи нормальную книгу лучше в электронном виде по настройке политик безопасности?

Надо бы разобраться, хотя все же при наличии альтернативы в виде 64 битных виндов где многие если не все проблемы с руткитами-троянами уже решены не уверен хватит ли терпения осилить по большому счету настроки уже умершей версии виндов...

(хотя в интернет есть типа взломщики 64 бит, надо как-нибудь проверить, сомнительно что работают... но кто знает...)

В 2023 году 36,9% всех DDoS-атак пришлось на сферу финансов

Что делать, если ваша email-рассылка попала в спам

У кого украли Webmoney и доступ к ним - давайте разберемся наконец-то?