Попробуйте разработать свой кипер под линукс в нем хоть трояна не поймаешь - Финансы

У кого украли Webmoney и доступ к ним - давайте разберемся наконец-то?

Spowen · 2020-07-28T15:09:42.0000000Z

Я к сожалению также, как и многие люди в последнее время ( Аналогичный топик , ещё топик ) попал под раздачу, а точнее - наоборот. В общем, очень неприятнейшая ситуация, как и у многих людей, пострадавших от злостного трояна (с большой долей вероятности - это вот эта хренотень ). Рассказываю свою историю как было дело: В пятницу вечером как обычно просматривал на Торрентах (Rutracker.org) новинки. Решил поставить на закачку несколько видео. В это время как обычно трепался в аське с другом. Для справки: на машине стоит NOD32, Outpost Firewall, Spyware Doctor - все с последними базами и постоянными обновлениями. Ничего не подозревающий я дальше просматривал скрины из файлов, которые предлагались для скачивания на торрентах. Все бы хорошо, но вдруг ни с того ни с сего выскакивает окошко: "Ошибка vlioey.exe" - типа как что-то запустилось и неудачно, или просто отрыгнулось, но факт я запомнил - ещё сразу загуглил и пошутил с другом в аське, что подхватил виря. NOD, Outpost и Spyware Doctor МОЛЧАЛИ. В гугле - 0 результатов по данному файлу или процессу. Эта ошибка выпала при заходе на сервис картинок Fastpic.ru. Данный ресурс недавно примкнул к Torretns.ru как новый сервис по хранению картинок. Посещалка очень большая. Но сейчас мы двигаемся дальше по хронологии моих событий... Далее я естественно заподозрил неладное, перезагрузил машину и просканировался полностью. Никто ничего не нашел, все 3 проги. (в аутпосте тоже есть функция сканирования на Spyware). Двигаемся дальше - никаких подозрительных активностей, никаких фактов того, что это действительно был вирус... Все это заставило меня спокойно продолжить работать на машине. Webmoney Keeper запускал, оплачивал счета - все было хорошо. После того, как поработал в программе, успешно закрыл ее и отправился спать. На выходных машина обычно используется в роли мультимедийного центра, по этому назначению и использовалась, инет был активен. Никаких подозрений не было и тогда. В воскресенье вечером опять начал работать, включаю кипер - и вот тут-то у меня добавилось седых волос. "Серьёзная ошибка при выполнении команды". Потом и второе окошко "Некорректный идентификатор или пароль" . Ну думаю, всякое бывает, наверное глюк. Перепробовал миллиард и один вариант, опять добавил себе седых волос, подставил файл ключей и пароль к нему - все срабатывает, но окно все равно не исчезает. Пошел гуглить... и нагуглил естественно темки у меня взломали Webmoney , взломали Webmoney и ещё много другого (можно ввести в поисковик по ключам). Прочитав понял, что вполне возможно это троян, ссылку на который я давал выше. Но стучать человеку, продающему его я ещё не пробовал, думаю бесполезно. Но это ещё далеко не конец истории. Я огорчился и на фоне огорчения стал думать о дальнейшей безопасности. Потому как пока я не знаю деньги ушли из кошельков или нет - в саппорте Webmoney на этот вопрос не отвечают, а арбитраж очень много дней в неделю отдыхает, включая 8 марта. Насчет самой системы - отдельный разговор. Неужели нельзя сделать саппорт 24/7 и дать все полномочия саппорту именно по подобным вопросам. И собственно забросило меня на Rutracker.org - стал я смотреть на дистрибутивы Линукса, на их красоту и неприступность и фантазировать о том, как же безопасно мне будет работать на линуксе. И что вы думаете? В это самое время, когда я смотрел очередной скриншот, опять же с сайта Fastpic.ru - ещё одно "чудо" пыталось пробраться, на этот раз NOD отбил угрозу, но аналогично была ошибка открытия какого-то экзешника, сейчас напишу даже какого, но думаю даже имя экзешника генерируется по случайности - этим обьясняется молчание гугла по этому поводу. Нет, к сожалению имя файла у меня не сохранилось, зато сохранилась прямая ссылка, по которой я получил "в лоб": http://fastpic.ru/view/3/2009/1023/532c655b7bfc306c3822f0acdcf014ed.png.html - надеюсь ходить туда Вы не будете без соответствующего образования/обмундирования и аммуниции ибо на данный момент я уверен эта ссылка представляет опасность до сих пор. Я бы вообще запретил в фаерволе этот хост - fastpic.ru. Это не антиреклама для него, это истина, которую мы ещё обязательно обсудим. Смысл из всего, что связано с этим сайтом следующий: Либо специально, либо случайно, либо ещё как (взломали сайт например) на этом сайте висит какой-то "волшебный" поп-ап или поп-андер, или его разновидность. Люди зарабатывают на рекламе партнерками, которые не всегда белые. Чаще всего - серые или черные. И крутиться в этих партнерках может хоть сам дьявол. Смысл улавливаете? Я отпишу людям из Fastpic.ru и наверное дам ссылку на эту тему. Сегодня в нашем жестоком мире нельзя верить никому, поэтому я не могу быть уверен в том, что это случайность, или "темная" партнерка, используемая на сайте. Вполне возможно, что сами владельцы занимаются подобной хренью. Но это естественно, предположение. На данный момент я хочу, чтобы те, кто пострадал таким же образом обьединили свои усилия и информацию, которую мы имеем воедино. Буду рад, если кто-то также проявит инициативу и предложит что делать дальше. На данный момент мои действия и советы тем, кто попался на это: Если попытаться словить за яйца (очень хочется!) обидчиков, то сейчас стоит задача: выяснить откуда ноги растут. Поэтому как минимум нужно пообщаться с представителями Fastpic.ru. Одновременно с этим писать в саппорт Webmoney и арбитраж. Мой идентификатор заблокировали, но обычный саппорт вообще практически не имеет полномочий. Любому, кто наткнется на подобную ошибку - сразу писать в саппорт чтобы блокировали кошельки на вывод средств. Кроме всего прочего: идентифицировать, что "что-то не в порядке" можно так: Идем в C:/program files/Webmoney/ и ищем такой файлик: inetmib1.dll . Если он находится в директории с Webmoney - это и есть часть трояна. Касперский уже определяет его, как сказали из его техподдержки. Он определяется как: inetmib1.dll - Trojan-Spy.Win32.Wemon.cv На данный момент неизвестно какое количество людей пострадало, но думаю довольно приличное. Здесь просьба отписываться тех, кто пострадал и главное: какие меры уже предпринял, какие результаты. Как правило деньги уводятся в выходные, конвертируются в ближайшем электронном обменнике, переводятся на Яндекс-Деньги и выводятся, либо на них покупаются товары в инет магазинах. В общем, неисповедимы их пути... На сегодня я практически ничего не смог сделать, кроме шерсти интернета, подобных тем и колебания воздуха. Вебманевский саппорт отвечает примерно раз в 2.5 часа. Толку от него только в блокировании кошельков, остальное не в его компетенции, а в компетенции арбитража, как он сам обьясняет. Зарегистрировал новый WMID вчера ночью. Сегодня зайти в него уже не получается. Интересное дело - прога просто закрывается сразу как только заходит в онлайн. Поставил самую новую версию - тоже самое. Видимо я ещё не полностью почистился от этой нечисти. Благодарю всех за внимание и надеюсь это будет полезно всем. Если где-то Вы хотите меня поправить или дополнить - милости прошу. Ещё есть очень большая пища для размышлений: вот такая вот статейка из журнала хакер . Была написана давно, но я думаю в ней очень многое ещё актуально.

107

Slavomir

8 апреля 2010, 04:26

#811

-= Serafim =-:
Чего вы все к этому файлу прицепились, хакеру назвать его можно хоть webmoney2.exe или upyachechka.dll

Простых вещей не понимаем, но советы даем.

Вакансии удаленной работы (http://www.telejob.ru) Найди удаленного исполнителя (http://www.telejob.ru)

569

Dreammaker

8 апреля 2010, 05:02

#812

-= Serafim =-, винда для dll-ок пытается их найти вначале в папке программы, а затем уже в системных папках. И троянописатели подсовывают вместо используемой в webmoney либы свою, слегка подрихтованную.

68

15

660658

8 апреля 2010, 05:37

#813

мдя....много текста и всяких советов....

а теперь суть:

был разговор с одним из воришек бабла (ТС в курсе как я его нашел и кто им счас занимается)

а теперь про троян который ловят все:

да, это троян, при заражение компа он тупо ждет активации кипера (т.е. того момента как вы им залогинетесь для какой либо операции), после чего снимает слепок с вашей оси и с залогиненого кипера и отправляет хозяину и удаляется (!), хозяин имеет довольно таки удобную админку (сам видел!!!) где выкладываются данные по протрояненым компам (считать киперам), в ней четко видно вмид, дата заражения, и сумма на кошельках (!) на текущий момент, злоумышленник просто получает оттуда отчет (например раз в 5 минут) и видит у кого и сколько можно украсть, в момент кражи он берет слепок полученый трояном и вставляет его в немного модифицированный кипер (!) и получает на выходе полностью уже залогигеный кипер с вашим вмидом и вашими кошельками, которым и может управлять как своим (как я понял это сделано на уровне протокола вебмани), после чего он уже и ворует деньги у своих жертв....

а теперь самое интересное:

даже если вы после того как поймали трояна форматнете винты, установите новую ось, смените файл ключей, все пароли какие есть, установите блокировку по ип или еще что то - это не поможет, злоумышленник уже имеет слепок с кипера, и может в любой момент залогиниться снова и украсть у вас ПОВТОРНО деньги.....это как мне сказали гарантирует разработчик трояна (кстати обновления выходят довольно таки быстро, после выхода версии кипера 3.9.0.1 мне буквально через пару дней сообщили что есть уже обновление и его можно получить)

660658 добавил 08.04.2010 в 09:41

мдя...забыл добавить...меня ситуация волнует довольно таки сильно и я пришел к выводу что проще разработать свой кипер под линукс (там хоть трояна не поймаешь и ни кто не сможет своровать какую либо инфу), шаги в данном направление уже сделаны.....так что ждите, скоро будет первый релиз моего кипера под линукс

107

Slavomir

8 апреля 2010, 05:51

#814

660658:
а теперь самое интересное:
даже если вы после того как поймали трояна форматнете винты, установите новую ось, смените файл ключей, все пароли какие есть, установите блокировку по ип или еще что то - это не поможет, злоумышленник уже имеет слепок с кипера, и может в любой момент залогиниться снова и украсть у вас ПОВТОРНО деньги.....это как мне сказали гарантирует разработчик трояна (кстати обновления выходят довольно таки быстро, после выхода версии кипера 3.9.0.1 мне буквально через пару дней сообщили что есть уже обновление и его можно получить)

Это подтверждено тестами? Если реально не помогает блокировка по выделенному IP и смена ключей, то мы сделали большущий комплимент, назвав систему дырявой.

569

Dreammaker

8 апреля 2010, 05:53

#815

660658:
так что ждите, скоро будет первый релиз моего кипера под линукс

пока это не будет разработкой от вебманей, то рисковать будет очень ограниченное количество людей. Я, например, не пользовался mini пока это была частная разработка, и только после того как проект купили вебмани стал время от времени использовать.

Webmoney актуальное Вывод в Челябинвестбанк Hetzner начал выгонять хостеров

68

15

660658

8 апреля 2010, 06:07

#816

Slavomir:
Это подтверждено тестами? Если реально не помогает блокировка по выделенному IP и смена ключей, то мы сделали большущий комплимент, назвав систему дырявой.

в скором времени я надеюсь у меня будет копия вредноносного ПО для тестов (думаю что органы поделятся копией для тестов) и вот тогда я смогу сказать точно уже его возможности, но это мне заявили владельцы данного ПО.....после такого заявления я и решил писать свой кипер под линукс (в нем хоть вирусни нет и взломать его сложно), если кто то хочет попытаться взломать мою ось или заразить чем то ... то велком, можем провести своеобразный эксперимент

660658 добавил 08.04.2010 в 10:09

Dreammaker:
пока это не будет разработкой от вебманей, то рисковать будет очень ограниченное количество людей. Я, например, не пользовался mini пока это была частная разработка, и только после того как проект купили вебмани стал время от времени использовать.

а вебмани и не будет его делать, это помоему ясно, ведь код то открытый будет...а вот чего они не хотят так это открывать свой код, потмоу что сразу же потеряют много клиентов по причине его дырявости

вы никогда не получали внутри кипера ошибку 404? а вот у меня было один раз....ведь кипер это по сути десктопное приложение работающее по веб технологии

209

vint

8 апреля 2010, 06:16

#817

660658, опоздали ровно на неделю.

68

15

660658

8 апреля 2010, 06:18

#818

vint:
660658, опоздали ровно на неделю.

по поводу чего опаздал?

вот кусок скрина из админи злоумышленника

164

regnet

8 апреля 2010, 06:32

#819

Лучшим способом защититься является сохранения файла ключей на диске\флешке, на компе не сохраняйте и всё будет ок.

Р

61

Ростислав

8 апреля 2010, 06:32

#820

Slavomir:
Если реально не помогает блокировка по выделенному IP и смена ключей, то мы сделали большущий комплимент, назвав систему дырявой.

А если помогает, то вы просто обиженный балабол?

Ростислав добавил 08.04.2010 в 10:35

660658:
а вот чего они не хотят так это открывать свой код, потмоу что сразу же потеряют много клиентов по причине его дырявости

Со стороны WebMoney не раскрывать код системы, работающей с серьезными деньгами, более чем логично с точки зрения безопасности.

Вышел новый Яндекс Браузер с YandexGPT и YandexART

Как удалить плохие SEO-ссылки и очистить ссылочную массу сайта

У кого украли Webmoney и доступ к ним - давайте разберемся наконец-то?