[Bull]

Цитата:

Сообщение от k0zm0r писал вс, 09 декабря 2007 19:27

Приветствую, мне кажется нужно искать концы на этом форуме. Слишком много форумчан пострадало. Возможно ссылка с трояном висит на форуме. Последнее время появились люди пищущие только в Поговорим за жизнь и другие не гемблинговые ветки форума, возможно есть кто-то кто специально размещает здесь данные ссылки или возможно не специально... :?

Такая версия высказывалась и она имеет право на существование. Только тут один большой вопрос: какие ссылки-то? Среди ссылок, на которые я пошел с этого форума, не было ни одной подозрительной, ссылки как ссылки. Кроме того, по такой ссылке должны были пойти ВСЕ пострадавшие форумчане. то есть это должна была быть очень интересная ссылка, чтобы их всех без исключения заинтересовать.
Меня смущает еще другое. Я уже написал, что кража произошла во время длительного отсутствия моего компа в сети. Это говорит о том, что принцип действия вируса гораздо проще, чем здесь предполагалось. кстати. на этом компе у меня стоит лайт-версия кипера, ей не нужен пароль, только сертификат. ЗначитЮ, вирус просто отсылает сертификат "хозяину". А тот уже с любого компа входит на кошелек и делает то, что хочет. Другое дело, что wm-кипер (это даже хакеры доказали) - шпионская по сути своей программа. Она считывает такие данные о машине, цель знания которых очень трудно себе представить. И если вирус просто ворует сертификат, а потом "хозяин" лезет в кошелек с любой машины, то при наличии доброй воли владельцев ресурса, такую халяву можно было бы запросто пресечь. Но этого не делается, что наводит на грустные размышления. например, об имеющем место сговоре

[kozmor]

Цитата:

Сообщение от bull писал вс, 09 декабря 2007 19:37

Цитата:

Такая версия высказывалась и она имеет право на существование. Только тут один большой вопрос: какие ссылки-то? Среди ссылок, на которые я пошел с этого форума, не было ни одной подозрительной, ссылки как ссылки. Кроме того, по такой ссылке должны были пойти ВСЕ пострадавшие форумчане. то есть это должна была быть очень интересная ссылка, чтобы их всех без исключения заинтересовать.

А как можно определить подозрительная ссылка или нет? Если даже антивирус не ловит троян...

[Bull]

Цитата:

Сообщение от k0zm0r писал вс, 09 декабря 2007 19:40

Цитата:

А как можно определить подозрительная ссылка или нет? Если даже антивирус не ловит троян...

Ну, точно этого не определишь. Просто там должен быть какой-то контент, маскирующий наличие вируса с одной стороны и заставляющий посмотреть страницу с другой. Он должен быть таким, чтобы было видно: сайт существует не с одноразовой целью повесить человеку вирус на комп.

[Grey]

А почему обязательно ссылка. Программами бесплатными или крякнутыми какими-нибудь пользовался?

И кстати, не надо обольщаться, что антивирус ничего не находит. Троян слепить в наше время совсем не проблема, а пресловутые антивирусы ничего не будут находить, пока их авторов не ткнут носом в конкретный экземпляр.

[psb]

мои 5 копеек...кипер стоит на вирт.машине, на которой кроме NAV'а и покерного клиента больше ничего нет, браузером не пользовался ни разу, сумма на счету средняя, на счёт захожу раз в неделю, не чаще....пока всё ок (тьфу-тьфу-тьфу)

[Bull]

Цитата:

Сообщение от Grey писал вс, 09 декабря 2007 20:23

А почему обязательно ссылка. Программами бесплатными или крякнутыми какими-нибудь пользовался?

Пользовался.
Только опять же - если мы обсуждаем непонятно большое количество пострадавших именно среди форумчан, то ВСЕ пострадавшие должны были пользоваться одной и той же бесплатной или крякнутой программой. Лично я в такую возможность не верю.

[santorio]

А зачем ссылки, залезть в чей-то компьютер и атоковать его ведь можно зная ай-пи , а ай-пи определенных форумчан узнать не проблема.

[Fireball]

Цитата:

Сообщение от k0zm0r писал вс, 09 декабря 2007 19:27

Приветствую, мне кажется нужно искать концы на этом форуме. Слишком много форумчан пострадало. Возможно ссылка с трояном висит на форуме. Последнее время появились люди пищущие только в Поговорим за жизнь и другие не гемблинговые ветки форума, возможно есть кто-то кто специально размещает здесь данные ссылки или возможно не специально... :?

На мой взгляд бред полный... Путей распространения вирусов очень много, нету смысла расставлять акценты на определенные места. По сравнению с объемами платежей самой webmoney, объемы пользователей этого форума составляют довольно небольшую часть.

Я уже много писал в этой теме и много повторялся, но еще раз повторю, потому как многие не читают всю ветку. Webmoney можно пользоваться и можно пользоваться безопаснее, чем многие пользуются. Варианты безопасного использования были представлены мною выше.

[kozmor]

Цитата:

Сообщение от Fireball писал пн, 10 декабря 2007 02:01

Цитата:

На мой взгляд бред полный... Путей распространения вирусов очень много, нету смысла расставлять акценты на определенные места. По сравнению с объемами платежей самой webmoney, объемы пользователей этого форума составляют довольно небольшую часть.

Я уже много писал в этой теме и много повторялся, но еще раз повторю, потому как многие не читают всю ветку. Webmoney можно пользоваться и можно пользоваться безопаснее, чем многие пользуются. Варианты безопасного использования были представлены мною выше.

Мне летом пришел троян от журнала CGM в письме и ломанули акк в ЕП, я успел тогда заморозить счет... А ты говоришь бред.. Я хочу людей предупредить чтобы аккуратней были...не понял твоих эмоций.. :?

[Профи]

Цитата:

Сообщение от k0zm0r писал вт, 11 декабря 2007 20:35

Мне летом пришел троян от журнала CGM в письме и ломанули акк в ЕП, я успел тогда заморозить счет... А ты говоришь бред.. Я хочу людей предупредить чтобы аккуратней были...

Похоже пора добавить пару слов. Мне сегодня пришло письмо со ссылкой на левый сайт от Сити-банка, а вчера — от компании Манибукерс. Т.е. эти 2 фирмы хотят меня взломать, надо быть аккуратней. Улавливаешь аналогию?

Если есть такое недоверие к администраторам форума, то почему ты посещаешь этот форум и размещаешь здесь сообщения? Чтобы не было сомнений в моей непредвзятости: сотрудником ЦГМ я не являюсь и доступа к базе адресов у меня нет.

От лица очень многих организаций делаются массовые рассылки для того, чтобы поймать некоторое количество незащищенных пользователей, которые "клюнут" на этого отправителя. В любом письме можно указывать совершенно произвольный адрес отправителя. Само письмо такой рассылки конструируется под максимальную правдоподобность, обычно берется за образец оригинальное письмо банка или форума.

Если адрес CGM уменьшает твою подозрительность и ты готов его просматривать из под пользователя с администраторскими правами — перестань это делать (под таким пользователем вообще нельзя работать, если комп подключен к сети). Щелкать по любым ссылкам в письме или открывать приложенные файлы — нельзя.

Вот тебе ссылка на [Зарегистрироваться?] которая ведет на другой сайт — и это без всяких дыр в почтовой программе, а есть ведь еще и они.

У меня не было этого трояна, хотя я тоже получил письмо с ним из той рассылки — я не нажимал ссылки и при просмотре мной текста из под пользователя без админских прав троян вероятно остался не при делах.

Использован может быть даже адрес твоего друга, который подцепил вирус и теперь рассылает всякую фигню по своей адресной книге, сам того не зная + все его контакты пополняют базы спамеров.

Если у тебя в профиле включена возможность для любых людей отправлять тебе е-мейлы через форум — отключи ее тоже (на всякий случай).

[mordovorot]

вот трояны трояны, как тогда Булла сперли деньги? ведь в тот день у него комп вобще отключен был.

[Grey]

Цитата:

Сообщение от mordovorot писал

вот трояны трояны, как тогда Булла сперли деньги? ведь в тот день у него комп вобще отключен был.

Троян может отправить нужную информацию (логин, пароль) хозяину на емейл, дальше объяснять?

[mordovorot]

Цитата:

Сообщение от Grey писал ср, 12 декабря 2007 13:51

Цитата:

Троян может отправить нужную информацию (логин, пароль) хозяину на емейл, дальше объяснять?

ой ой ой А а сертификат они молотком ломали?

[Grey]

Цитата:

Сообщение от mordovorot писал

ой ой ой А а сертификат они молотком ломали?

oops не в курсе, що це такэ не пользуюсь вебманями. И другим не советую. Букерсы рулят.

[Профи]

Цитата:

Сообщение от Grey писал ср, 12 декабря 2007 11:50

Букерсы рулят.

А вот у них: ни сертификата, ни запрета входа с чужих IP — только логин и пароль. Комп нужно от троянов защищать: ВМ вместо пользователя не сможет это сделать.

[kozmor]

Специально или нет , но Вы не правильно поняли суть моего сообщения... Вот Булл понял верно... Я не обвиняю администрацию форума в рассылке трояна Я говорю о том что инфу с этого форума могут использовать, форум стал очень большим проектам, и нужно аккуратно относится к различным ссылкам и к новым да и старым пользователям... Вот , например Булл пишет, что не посещал сомнительных сайтов, а деньги все равно украли... А на меня накинулись как будто я обвиняю кого-то... :x

[Профи]

ОК, извините. Значит неправильно понял. Все-таки так никто и не ответил — этот троян может забираться на компы, где работают залогинившись под обычным пользователем, а не администратором. Если нет (а я на 97% уверен, что нет), то почему не все пользуются этой простейшей возможностью обезопасить свой комп и деньги.

P.S. Напишу статью об этом.

[mikhaylo]

Цитата:

Сообщение от Профи писал ср, 12 декабря 2007 12:01

Цитата:

А вот у них: ни сертификата, ни запрета входа с чужих IP — только логин и пароль. Комп нужно от троянов защищать: ВМ вместо пользователя не сможет это сделать.

зато можно отменить платеж, как только заметите пропажу

[Bull]

Цитата:

Сообщение от Профи писал ср, 12 декабря 2007 12:06

ОК, извините. Значит неправильно понял. Все-таки так никто и не ответил — этот троян может забираться на компы, где работают залогинившись под обычным пользователем, а не администратором.

Я, как реально пострадавший, отвечу, если мне популярно объяснят, как мне выяснить, обычным пользователем я захожу или администратором
В таких вещах профан, поэтому даже не знаю.
Кроме того, эта инфа мне на будущее полезна будет.
Что касается проверки Касперского, которую предложил Lappa, то она не выявила у меня активных вирусов, только одну подозрительную запись чего-то, УЖЕ ИСЧЕЗНУВШЕГО. Как они написали: возможно, троян, выполнив свою задачу, самоликвидировался.
Далее они нашли у меня кучу настроек, облегчающих жизнь троянам. Но, господа, это ведь только специалистам понятно. Я, например, не знаю, как это все устранять.

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> разрешена потенциально опасная служба TermService (Службы терминалов)
>> разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> разрешена потенциально опасная служба Messenger (Служба сообщений)
>> разрешена потенциально опасная служба Alerter (Оповещатель)
>> разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

[Bull]

Да, и еще одно. Одну подозрительную прогу они все-таки у меня обнаружили. Попросили выслать им. Только что выслал. Сам глянул в папку - по внешним признакам ну очень подозрительная. Сидит у меня в C:\Program Files с датой изменения 2 ноября, но ее название и содержимое папки вообще ни о чем мне говорит. Как только будет ответ - отпишусь.
Еще всем советуют вот это прочитать:

[Зарегистрироваться?]

Не знаю, возможно, будет полезно