Используйте виртуальную машину, которая будет выполнять роль шпиона антивируса. Удалите пакеты Virtualbox-ose-guest с использованием сканера - Финансы

У кого украли Webmoney и доступ к ним - давайте разберемся наконец-то?

Spowen · 2020-07-28T15:09:42.0000000Z

Я к сожалению также, как и многие люди в последнее время ( Аналогичный топик , ещё топик ) попал под раздачу, а точнее - наоборот. В общем, очень неприятнейшая ситуация, как и у многих людей, пострадавших от злостного трояна (с большой долей вероятности - это вот эта хренотень ). Рассказываю свою историю как было дело: В пятницу вечером как обычно просматривал на Торрентах (Rutracker.org) новинки. Решил поставить на закачку несколько видео. В это время как обычно трепался в аське с другом. Для справки: на машине стоит NOD32, Outpost Firewall, Spyware Doctor - все с последними базами и постоянными обновлениями. Ничего не подозревающий я дальше просматривал скрины из файлов, которые предлагались для скачивания на торрентах. Все бы хорошо, но вдруг ни с того ни с сего выскакивает окошко: "Ошибка vlioey.exe" - типа как что-то запустилось и неудачно, или просто отрыгнулось, но факт я запомнил - ещё сразу загуглил и пошутил с другом в аське, что подхватил виря. NOD, Outpost и Spyware Doctor МОЛЧАЛИ. В гугле - 0 результатов по данному файлу или процессу. Эта ошибка выпала при заходе на сервис картинок Fastpic.ru. Данный ресурс недавно примкнул к Torretns.ru как новый сервис по хранению картинок. Посещалка очень большая. Но сейчас мы двигаемся дальше по хронологии моих событий... Далее я естественно заподозрил неладное, перезагрузил машину и просканировался полностью. Никто ничего не нашел, все 3 проги. (в аутпосте тоже есть функция сканирования на Spyware). Двигаемся дальше - никаких подозрительных активностей, никаких фактов того, что это действительно был вирус... Все это заставило меня спокойно продолжить работать на машине. Webmoney Keeper запускал, оплачивал счета - все было хорошо. После того, как поработал в программе, успешно закрыл ее и отправился спать. На выходных машина обычно используется в роли мультимедийного центра, по этому назначению и использовалась, инет был активен. Никаких подозрений не было и тогда. В воскресенье вечером опять начал работать, включаю кипер - и вот тут-то у меня добавилось седых волос. "Серьёзная ошибка при выполнении команды". Потом и второе окошко "Некорректный идентификатор или пароль" . Ну думаю, всякое бывает, наверное глюк. Перепробовал миллиард и один вариант, опять добавил себе седых волос, подставил файл ключей и пароль к нему - все срабатывает, но окно все равно не исчезает. Пошел гуглить... и нагуглил естественно темки у меня взломали Webmoney , взломали Webmoney и ещё много другого (можно ввести в поисковик по ключам). Прочитав понял, что вполне возможно это троян, ссылку на который я давал выше. Но стучать человеку, продающему его я ещё не пробовал, думаю бесполезно. Но это ещё далеко не конец истории. Я огорчился и на фоне огорчения стал думать о дальнейшей безопасности. Потому как пока я не знаю деньги ушли из кошельков или нет - в саппорте Webmoney на этот вопрос не отвечают, а арбитраж очень много дней в неделю отдыхает, включая 8 марта. Насчет самой системы - отдельный разговор. Неужели нельзя сделать саппорт 24/7 и дать все полномочия саппорту именно по подобным вопросам. И собственно забросило меня на Rutracker.org - стал я смотреть на дистрибутивы Линукса, на их красоту и неприступность и фантазировать о том, как же безопасно мне будет работать на линуксе. И что вы думаете? В это самое время, когда я смотрел очередной скриншот, опять же с сайта Fastpic.ru - ещё одно "чудо" пыталось пробраться, на этот раз NOD отбил угрозу, но аналогично была ошибка открытия какого-то экзешника, сейчас напишу даже какого, но думаю даже имя экзешника генерируется по случайности - этим обьясняется молчание гугла по этому поводу. Нет, к сожалению имя файла у меня не сохранилось, зато сохранилась прямая ссылка, по которой я получил "в лоб": http://fastpic.ru/view/3/2009/1023/532c655b7bfc306c3822f0acdcf014ed.png.html - надеюсь ходить туда Вы не будете без соответствующего образования/обмундирования и аммуниции ибо на данный момент я уверен эта ссылка представляет опасность до сих пор. Я бы вообще запретил в фаерволе этот хост - fastpic.ru. Это не антиреклама для него, это истина, которую мы ещё обязательно обсудим. Смысл из всего, что связано с этим сайтом следующий: Либо специально, либо случайно, либо ещё как (взломали сайт например) на этом сайте висит какой-то "волшебный" поп-ап или поп-андер, или его разновидность. Люди зарабатывают на рекламе партнерками, которые не всегда белые. Чаще всего - серые или черные. И крутиться в этих партнерках может хоть сам дьявол. Смысл улавливаете? Я отпишу людям из Fastpic.ru и наверное дам ссылку на эту тему. Сегодня в нашем жестоком мире нельзя верить никому, поэтому я не могу быть уверен в том, что это случайность, или "темная" партнерка, используемая на сайте. Вполне возможно, что сами владельцы занимаются подобной хренью. Но это естественно, предположение. На данный момент я хочу, чтобы те, кто пострадал таким же образом обьединили свои усилия и информацию, которую мы имеем воедино. Буду рад, если кто-то также проявит инициативу и предложит что делать дальше. На данный момент мои действия и советы тем, кто попался на это: Если попытаться словить за яйца (очень хочется!) обидчиков, то сейчас стоит задача: выяснить откуда ноги растут. Поэтому как минимум нужно пообщаться с представителями Fastpic.ru. Одновременно с этим писать в саппорт Webmoney и арбитраж. Мой идентификатор заблокировали, но обычный саппорт вообще практически не имеет полномочий. Любому, кто наткнется на подобную ошибку - сразу писать в саппорт чтобы блокировали кошельки на вывод средств. Кроме всего прочего: идентифицировать, что "что-то не в порядке" можно так: Идем в C:/program files/Webmoney/ и ищем такой файлик: inetmib1.dll . Если он находится в директории с Webmoney - это и есть часть трояна. Касперский уже определяет его, как сказали из его техподдержки. Он определяется как: inetmib1.dll - Trojan-Spy.Win32.Wemon.cv На данный момент неизвестно какое количество людей пострадало, но думаю довольно приличное. Здесь просьба отписываться тех, кто пострадал и главное: какие меры уже предпринял, какие результаты. Как правило деньги уводятся в выходные, конвертируются в ближайшем электронном обменнике, переводятся на Яндекс-Деньги и выводятся, либо на них покупаются товары в инет магазинах. В общем, неисповедимы их пути... На сегодня я практически ничего не смог сделать, кроме шерсти интернета, подобных тем и колебания воздуха. Вебманевский саппорт отвечает примерно раз в 2.5 часа. Толку от него только в блокировании кошельков, остальное не в его компетенции, а в компетенции арбитража, как он сам обьясняет. Зарегистрировал новый WMID вчера ночью. Сегодня зайти в него уже не получается. Интересное дело - прога просто закрывается сразу как только заходит в онлайн. Поставил самую новую версию - тоже самое. Видимо я ещё не полностью почистился от этой нечисти. Благодарю всех за внимание и надеюсь это будет полезно всем. Если где-то Вы хотите меня поправить или дополнить - милости прошу. Ещё есть очень большая пища для размышлений: вот такая вот статейка из журнала хакер . Была написана давно, но я думаю в ней очень многое ещё актуально.

133

TheGRAM

30 марта 2010, 13:09

#701

Ну что ж вы так на нетбук-то потратиться не хотите?

1. Тиц 10 за 12$ - работает! (/ru/forum/250674) ICQ:364-244-059 (регистрация в каталогах .ru, .com, .de и др.стран). В каталогах статей англоязычных. 2. Куплю сайты (/ru/forum/541017) с pR: дорого! {=- тиц не нужен! -=} | IT - Мысли (http://www.it-thoughts.ru)

569

Dreammaker

30 марта 2010, 13:14

#702

TheGRAM, это вы мне?

Есть и нетбук, правда, используется он не для финансовых операций :) На нём тоже линукс.

S

88

seamonkey

30 марта 2010, 13:39

#703

beginerx:
коллеги, срочно запускать антивирус! и лайт и мини работают как часы, скорость - мгновенно!
неужели началось?! Собственно браузер мало чем отличается от кипера... :(

Любая странность в работе - подозрение на вирус-троян!

Подтверждаю - лайт с Линукса стартует шустро. Не мгновенно, но за пару секунд точно.

Если такое поведение браузера, лучше перестраховаться и проверить систему. Легко можно допустить наличие бота в системе.

35

PRelude

30 марта 2010, 13:52

#704

TheGRAM:
Ну что ж вы так на нетбук-то потратиться не хотите?

Уже обсуждали выше, что отдельный комп может быть и спасет от кражи денег, но не спасет от кражи любых других паролей, которые так или иначе будут на другом рабочем.

S

88

seamonkey

30 марта 2010, 14:10

#705

Slavomir:

Сервер реально можно атаковать только извне, используя те или иные обнаруженные уязвимости, т.к. он просто функционирует в соответствии с установками. Десктопная машина взламывается как снаружи, так и изнутри за счет активных действий пользователя. Причем и то и другое в случае недостаточной квалификации пользователя для машины с Линуксом сделать гораздо проще, чем для машины с Виндами.

В этом плане вы правы. Именно поэтому крайне желательно как для виндовс, так и линукс пользователей иметь виртуальную машину, которая будет выполнять роль "песочницы". Естественно что часто приходится запускать разный софт (напр. оптимизаторский) который из источников сомнительной репутации. Ну так запускайте его внутри виртуалки, кототрую установите именно для таких целей. Кстати, пользователи Линукс поневоле вынуждены так делать, поскольку большая часть софта пишется под винду. То же самое касается посещения сомнительных сайтов - есть необходимость такого посещения, в виртуалке запустил винду с FF и никаких проблем. В конце концов виртуалка - это просто файлы. Сделать копию после установки минимальной среды несложно. И если вдруг виртуалка напыжевалась всяким malware - грохнул ее и из архива достал чистую копию системы. Делов на 5 минут :)

D

0

dihlofoss

31 марта 2010, 00:05

#706

seamonkey, совет "VirtualBox + Ubuntu" перестал нравиться в тот момент ,когда выяснилось,что у хост-системы и эмулируемой один буфер обмена.Все что попадает в буфер в Ubuntu ,тут-же появляется и в буфере винды.

S

88

seamonkey

31 марта 2010, 01:38

#707

dihlofoss:
seamonkey, совет "VirtualBox + Ubuntu" перестал нравиться в тот момент ,когда выяснилось,что у хост-системы и эмулируемой один буфер обмена.Все что попадает в буфер в Ubuntu ,тут-же появляется и в буфере винды.

Удалите в Ubuntu пакеты virtualbox-ose-guest-* и эта фича пропадет - система станет полностью изолированной. Они ставятся внутри виртуалки по умолчанию для удобства начинающих.

А разве буфер обмена критичен для секюрити?

Кстати, если нужна консультация, как удалить пакеты - спрашивайте.

eTarget 2011:Панельная дискуссия «Стратегия eTarget 2011: Круглый стол Могут ли «плохие» входящие

10

Слэш

31 марта 2010, 09:49

#708

Вчера у меня во второй раз попытались украсть деньги. Признаки те же, что описал ТС. В папку с Вебмани была подкинута псевдобиблиотека inetmib.dll, в которой Касперский распознал немного отличающуюся модификацию упомянутого ТС трояна:

удалено: троянская программа Trojan-Spy.Win32.Wemon.en Файл: C:\Program Files\WebMoney\inetmib1.dll

Первый раз я столкнулся с попыткой кражи 21 июля прошлого года. Тогда антивирус вовсе не реагировал на этот файл (да и сейчас заметил лишь после принудительного сканирования). Пытаясь запустить Кипер, при нажатии ярлыка на рабочем столе я получал уведомления об ошибках:

Мое чутье меня отговорило ввести пароль (этого делать ни в коем случае нельзя в момент нахождения вредоносного файла в папке кипера).

Как же я понял, что именно inetmib1.dll несет за все ответственность? Просто догадался, что в папке Webmoney что-то должно быть :) Здоровое подозрение. Просмотрел даты создания всех файлов и вычислил его именно по сегодняшней (на тот день) дате создания, что выдало троян с потрохами. Если переименовать файл и переместить в другую папку, он будет безвреден. До сих пор храню старый, могу поделиться для опытов :D Надо заметить, сегодня невооруженным глазом его уже в папке не увидишь. Посмотрим, что придумают в следующей серии :) И горе тому, кто поспешит авторизоваться до его удаления. Больше всего мне интересно, как эта нечисть внедряется на компьютер да еще находит нужную папку.

В то время в интернете я искал информацию по трояну и почти ничего не нашел, за исключением пары упоминаний на неофициальных форумах, посвященных WebMoney. Сегодня inetmib1.dll - это уже доволььно популярный запрос, и стоящие темы почитать можно :)

13

danil_a

31 марта 2010, 10:05

#709

Spowen,

1.Spyware Doctor это тоже самое что говносайт), можете его удалять и нетратить время на его установку и обновления ...больше.(adware и т.д тоже в топку. эти атишпионы или фальш или сами шпионы(есть такое) антивируса хватит.

2. NOD32 - легко обойти. замени лучше касперским.

3. Кстати мне лично один сказал что толка от Outpost Firewall ровно ноль, это видимо он у тебя и других форумчан деньги увел. Кстати разобраться с ним вполне реально т.к он живет тоже в украине!

danil_a добавил 31.03.2010 в 14:12

МОЖЕТ ПОРА ЗАПОМНИТЬ И ПЕРЕСТАТЬ ПЛАКАТЬ НА ФОРУМЕ, А?☝

WebMoney Keeper Classic - как сохранить деньги? Использовать enum

КОНТЕНТ Туризм/Хобби/Отдых 1$ за 1000знк.!!!!!!! (http://advego.ru/shop/text/982333/?p=87sFkAfbTu)

107

Slavomir

31 марта 2010, 10:51

#710

danil_a:
МОЖЕТ ПОРА ЗАПОМНИТЬ И ПЕРЕСТАТЬ ПЛАКАТЬ НА ФОРУМЕ, А?☝
WebMoney Keeper Classic - как сохранить деньги? Использовать enum

Еще один сказочник, не разобравшийся в реальном положении вещей. Трояну абсолютно побарабану, каким образом вы залогинились: вводом пароля для файла ключей, через e-num с использованием сканера отпечатков пальцев или через e-num с вводом кодов с мобильного. Он ворует "образ" залогиненного кипера, который потом и используется хакером абсолютно без проблем.

Вакансии удаленной работы (http://www.telejob.ru) Найди удаленного исполнителя (http://www.telejob.ru)

eTarget 2011:Панельная дискуссия «Стратегия eTarget 2011: Круглый стол Могут ли «плохие» входящие

Что делать, чтобы попасть в ответы Google Bard

Курс биткоина превысил $50 тысяч

У кого украли Webmoney и доступ к ним - давайте разберемся наконец-то?