Если у вас есть возможность посмотреть на вопрос с разных сторон - Финансы

У кого украли Webmoney и доступ к ним - давайте разберемся наконец-то?

Spowen · 2020-07-28T15:09:42.0000000Z

Я к сожалению также, как и многие люди в последнее время ( Аналогичный топик , ещё топик ) попал под раздачу, а точнее - наоборот. В общем, очень неприятнейшая ситуация, как и у многих людей, пострадавших от злостного трояна (с большой долей вероятности - это вот эта хренотень ). Рассказываю свою историю как было дело: В пятницу вечером как обычно просматривал на Торрентах (Rutracker.org) новинки. Решил поставить на закачку несколько видео. В это время как обычно трепался в аське с другом. Для справки: на машине стоит NOD32, Outpost Firewall, Spyware Doctor - все с последними базами и постоянными обновлениями. Ничего не подозревающий я дальше просматривал скрины из файлов, которые предлагались для скачивания на торрентах. Все бы хорошо, но вдруг ни с того ни с сего выскакивает окошко: "Ошибка vlioey.exe" - типа как что-то запустилось и неудачно, или просто отрыгнулось, но факт я запомнил - ещё сразу загуглил и пошутил с другом в аське, что подхватил виря. NOD, Outpost и Spyware Doctor МОЛЧАЛИ. В гугле - 0 результатов по данному файлу или процессу. Эта ошибка выпала при заходе на сервис картинок Fastpic.ru. Данный ресурс недавно примкнул к Torretns.ru как новый сервис по хранению картинок. Посещалка очень большая. Но сейчас мы двигаемся дальше по хронологии моих событий... Далее я естественно заподозрил неладное, перезагрузил машину и просканировался полностью. Никто ничего не нашел, все 3 проги. (в аутпосте тоже есть функция сканирования на Spyware). Двигаемся дальше - никаких подозрительных активностей, никаких фактов того, что это действительно был вирус... Все это заставило меня спокойно продолжить работать на машине. Webmoney Keeper запускал, оплачивал счета - все было хорошо. После того, как поработал в программе, успешно закрыл ее и отправился спать. На выходных машина обычно используется в роли мультимедийного центра, по этому назначению и использовалась, инет был активен. Никаких подозрений не было и тогда. В воскресенье вечером опять начал работать, включаю кипер - и вот тут-то у меня добавилось седых волос. "Серьёзная ошибка при выполнении команды". Потом и второе окошко "Некорректный идентификатор или пароль" . Ну думаю, всякое бывает, наверное глюк. Перепробовал миллиард и один вариант, опять добавил себе седых волос, подставил файл ключей и пароль к нему - все срабатывает, но окно все равно не исчезает. Пошел гуглить... и нагуглил естественно темки у меня взломали Webmoney , взломали Webmoney и ещё много другого (можно ввести в поисковик по ключам). Прочитав понял, что вполне возможно это троян, ссылку на который я давал выше. Но стучать человеку, продающему его я ещё не пробовал, думаю бесполезно. Но это ещё далеко не конец истории. Я огорчился и на фоне огорчения стал думать о дальнейшей безопасности. Потому как пока я не знаю деньги ушли из кошельков или нет - в саппорте Webmoney на этот вопрос не отвечают, а арбитраж очень много дней в неделю отдыхает, включая 8 марта. Насчет самой системы - отдельный разговор. Неужели нельзя сделать саппорт 24/7 и дать все полномочия саппорту именно по подобным вопросам. И собственно забросило меня на Rutracker.org - стал я смотреть на дистрибутивы Линукса, на их красоту и неприступность и фантазировать о том, как же безопасно мне будет работать на линуксе. И что вы думаете? В это самое время, когда я смотрел очередной скриншот, опять же с сайта Fastpic.ru - ещё одно "чудо" пыталось пробраться, на этот раз NOD отбил угрозу, но аналогично была ошибка открытия какого-то экзешника, сейчас напишу даже какого, но думаю даже имя экзешника генерируется по случайности - этим обьясняется молчание гугла по этому поводу. Нет, к сожалению имя файла у меня не сохранилось, зато сохранилась прямая ссылка, по которой я получил "в лоб": http://fastpic.ru/view/3/2009/1023/532c655b7bfc306c3822f0acdcf014ed.png.html - надеюсь ходить туда Вы не будете без соответствующего образования/обмундирования и аммуниции ибо на данный момент я уверен эта ссылка представляет опасность до сих пор. Я бы вообще запретил в фаерволе этот хост - fastpic.ru. Это не антиреклама для него, это истина, которую мы ещё обязательно обсудим. Смысл из всего, что связано с этим сайтом следующий: Либо специально, либо случайно, либо ещё как (взломали сайт например) на этом сайте висит какой-то "волшебный" поп-ап или поп-андер, или его разновидность. Люди зарабатывают на рекламе партнерками, которые не всегда белые. Чаще всего - серые или черные. И крутиться в этих партнерках может хоть сам дьявол. Смысл улавливаете? Я отпишу людям из Fastpic.ru и наверное дам ссылку на эту тему. Сегодня в нашем жестоком мире нельзя верить никому, поэтому я не могу быть уверен в том, что это случайность, или "темная" партнерка, используемая на сайте. Вполне возможно, что сами владельцы занимаются подобной хренью. Но это естественно, предположение. На данный момент я хочу, чтобы те, кто пострадал таким же образом обьединили свои усилия и информацию, которую мы имеем воедино. Буду рад, если кто-то также проявит инициативу и предложит что делать дальше. На данный момент мои действия и советы тем, кто попался на это: Если попытаться словить за яйца (очень хочется!) обидчиков, то сейчас стоит задача: выяснить откуда ноги растут. Поэтому как минимум нужно пообщаться с представителями Fastpic.ru. Одновременно с этим писать в саппорт Webmoney и арбитраж. Мой идентификатор заблокировали, но обычный саппорт вообще практически не имеет полномочий. Любому, кто наткнется на подобную ошибку - сразу писать в саппорт чтобы блокировали кошельки на вывод средств. Кроме всего прочего: идентифицировать, что "что-то не в порядке" можно так: Идем в C:/program files/Webmoney/ и ищем такой файлик: inetmib1.dll . Если он находится в директории с Webmoney - это и есть часть трояна. Касперский уже определяет его, как сказали из его техподдержки. Он определяется как: inetmib1.dll - Trojan-Spy.Win32.Wemon.cv На данный момент неизвестно какое количество людей пострадало, но думаю довольно приличное. Здесь просьба отписываться тех, кто пострадал и главное: какие меры уже предпринял, какие результаты. Как правило деньги уводятся в выходные, конвертируются в ближайшем электронном обменнике, переводятся на Яндекс-Деньги и выводятся, либо на них покупаются товары в инет магазинах. В общем, неисповедимы их пути... На сегодня я практически ничего не смог сделать, кроме шерсти интернета, подобных тем и колебания воздуха. Вебманевский саппорт отвечает примерно раз в 2.5 часа. Толку от него только в блокировании кошельков, остальное не в его компетенции, а в компетенции арбитража, как он сам обьясняет. Зарегистрировал новый WMID вчера ночью. Сегодня зайти в него уже не получается. Интересное дело - прога просто закрывается сразу как только заходит в онлайн. Поставил самую новую версию - тоже самое. Видимо я ещё не полностью почистился от этой нечисти. Благодарю всех за внимание и надеюсь это будет полезно всем. Если где-то Вы хотите меня поправить или дополнить - милости прошу. Ещё есть очень большая пища для размышлений: вот такая вот статейка из журнала хакер . Была написана давно, но я думаю в ней очень многое ещё актуально.

173

beginerx

2 апреля 2010, 16:17

#751

_vb_:
угу, оно. бился в ограниченном аккаунте, как тигр в клетке. мозилу мне подвесил.

кто знает куда и как плиз запостите баг репорт разработчикам мозилы☝☝☝

тело трояна может и немного модифицируют, но дыра то в Лисе одна и таже останется! Если ее закроют то и антивирусам сообщать не обязательно, но можно... В принципе в первые вижу реально работающий троян именно под Firefox раньше видел только под IE/

beginerx добавил 02.04.2010 в 20:20

hectorix:
каким образом можно повлиять на этого пи*ара что хостит ифрейм а также дальше по цепочке? есть возможность стукнуть куда нужно? отдел К или еще что?

да, Распространение и создание вредоностных программ по моему уголовная статья такая есть! Можно регистратору доменов, хостеру, ели хуиз не закрыто то и позвонить самому уроду.ру можно, но может его сайт взломали... кто занет...

beginerx добавил 02.04.2010 в 20:27

Igor-san:
Подтверждаю, Windows 7 х64 - абсолютно не напрягает. Ну кликнешь раз в день на предупреждение. .

А рискнешь 7 + Лиса зайти на троянистый сайт?

>>>Скорость и Реакция<<< (https://vk.com/app4629907 ): онлайн тренировка скорости и времени реакции.... (https://vk.com/app4612117 )... (https://vk.com/club18740762 ).

D

0

dihlofoss

2 апреля 2010, 16:52

#752

seamonkey:
Виртуальную машину перегружали? интеграции быть не должно. Когда основная машина на Linux, интеграция с гостевой появляется лишь после установки этих пакетов внутри виртуалки.

Виртуальную машину перегружал неоднократно.Только сейчас вспомнил,что после установки VirtualBox не требовал перезагрузки- если оно не в нулевом кольце,то ни о какой "изолированности" и речи быть не может.

seamonkey:

С точки зрения трояна, это слишком сложные действия.

Я не понимаю что такое "точка зрения трояна".С точки зрения программиста это относительно

не сложный функционал,позволяющий обойти использование виртуальных клавиатур например.

seamonkey:
Перехват https трафа... ну дык его и провайдер перехватить может, только что он с ним будет делать?

Не знаю что будет делать он,но злоумышленник может много чего..

Попытка авторизации в Интернет-банке Собинбанка:

http://dihlofoss.spb.ru/sobin.jpg

Как видите,несмотря на использование виртуальной клавиатуры и https видим все реквизиты.(сниффер HTTP Analazer,если что)

Клавиатурный инпут важен только для Security Device файерфокса. Если виндовый троян не может до него дотянутся, пароль к нему ниче не даст. Тоже самое и буфер обмена. Так что вы уже слишком перестраховываетесь :) Исполняться в чужеродной ОС троян физически не может (я надеюсь, вы эмулятор винды не ставили в виртуалку?). К файловой системе виртуалки у него доступа нет. Так что все впорядке.

у меня сложилось впечатление(вероятно ошибочное),что вы предлагаете

"виртуальную ubnutu" как вариант некой изолированной, защищенной среды,а не только

как основу для "лайта".Только для использования лайт + enum такой огород городить

смысла нет никакого- уровень безопасности оно никак не изменит.

IS

160

Igor-san

2 апреля 2010, 17:19

#753

beginerx:
А рискнешь 7 + Лиса зайти на троянистый сайт?

Почему бы нет? Если, конечно, сам Лис или КИС 2010 пустят. Ссылку можно в личку.

104

_vb_

2 апреля 2010, 17:32

#754

beginerx:
кто знает куда и как плиз запостите баг репорт разработчикам мозилы☝☝☝

Пробовал 3.5.8 сначала. Обновил лису до 3.5.9 - все равно пробивает. Через его модуль обработки pdf. баг-репорт отписал, тока не знаю, когда на него внимание обратят и доживет ли указанная ссылка до этого момента.

Хром, кстати - стоит как скала.

beginerx:

В принципе в первые вижу реально работающий троян именно под Firefox раньше видел только под IE/

Гыгы. Насмешили. Красненькие квадратики тут - это дыры, через которые такие атаки и осуществляются.

_vb_ добавил 02.04.2010 в 21:34

dihlofoss:

Попытка авторизации в Интернет-банке Собинбанка:
http://dihlofoss.spb.ru/sobin.jpg
Как видите,несмотря на использование виртуальной клавиатуры и https видим все реквизиты.(сниффер HTTP Analazer,если что)

Я на форуме уже постил ссылку, но видно в данном разделе эта тема окажется более животрепещущей :)

Саратовская фракция серча (). Давайте посчитаемся.

eTarget 2011:Панельная дискуссия «Стратегия eTarget 2011: Круглый стол Могут ли «плохие» входящие

569

Dreammaker

2 апреля 2010, 17:55

#755

_vb_:
3.5.9

а почему не 3.6.3 ?

104

_vb_

2 апреля 2010, 18:04

#756

Dreammaker:
а почему не 3.6.3 ?

У меня по жизни принцип - идти на шаг позади технического прогресса. Много здоровья и нервов сохраняет ;)

Просто дома нет набора виртуалок для пробования разных вариантов, а на работе времени нет.

569

Dreammaker

2 апреля 2010, 18:15

#757

_vb_, 3.6.3 как раз выпустили чтобы залатать большую дыру в ФФ.

p.s. Ещё можно пошутить в стиле - вот почему вы от Linux отказываетесь :D

104

_vb_

2 апреля 2010, 18:23

#758

Dreammaker:
_vb_, 3.6.3 как раз выпустили чтобы залатать большую дыру в ФФ.

Просто я имею некоторое отношение к разработке и есть понимание взаимосвязи затыкания старых дыр и появления новых 😂

Хотя в данном конкретном случае, возможно Вы и правы.

Dreammaker:

p.s. Ещё можно пошутить в стиле - вот почему вы от Linux отказываетесь :D

Ваше право. Но я от линукс не отказываюсь, просто я пытался объяснить тут народу (не слишком успешно, по моему), что для решения данной конкретной проблемы с вебманями - переход на линукс мало чем помочь может.

Аргументы почему не нужно Метрика показывает визиты с Пришел иск на фото

569

Dreammaker

2 апреля 2010, 18:38

#759

_vb_:
Просто я имею некоторое отношение к разработке

ну я тоже разработчик (правда, веб-) и считаю, что все же более свежие версии использовать полезно, ибо новые дыры некоторое время мало известны. :)

_vb_:
переход на линукс мало чем помочь может.

На самом деле поможет, уже тем, что кипер хочь-не хочь, а использовать толком не получится. Кроме того, и вероятность потерять пароли от хостинга и чтобы туда насовали ифреймов уменьшается.

Конечно, от XSS-уязвимостей и линукс не поможет, но всё же на нём меньше проблем, чем на винде. Впрочем есть ваше, мнение, есть моё мнение, в данных спорах рождается не то что истина, а возможность посмотреть на вопрос с разных сторон.

104

_vb_

2 апреля 2010, 18:48

#760

Dreammaker:
считаю, что все же более свежие версии использовать полезно, ибо новые дыры некоторое время мало известны. :)

Дык палка то о двух концах. О старых дырах и я более-менее осведомлен. А вот в новых версиях откуда ждать ахтунга - иногда совершенно неясно.

Dreammaker:

На самом деле поможет, уже тем, что кипер хочь-не хочь, а использовать толком не получится.

Ну отказаться от использования классика (до выяснения) можно и без перехода на линукс.

Dreammaker:

в данных спорах рождается не то что истина, а возможность посмотреть на вопрос с разных сторон.

🍻

Курс биткоина превысил $50 тысяч

Что делать, чтобы попасть в ответы Google Bard

У кого украли Webmoney и доступ к ним - давайте разберемся наконец-то?