[nuclear]

Цитата:

Сообщение от Mercator писал пт, 14 декабря 2007 08:23

Меня интересует в целом, как узнать, заходил ли я по некоему адресу. Т.е. я хочу ввести этот адрес в определённую программу и она мне ответит, заходил ли я на него. Существует такая прога?
P.S. Журнал браузера не предлагать, там далеко не всё.

Для Аутпоста есть плагин "HTTP log". Он записывает все твои посещения. Не знаю только насколько полно.
[Зарегистрироваться?]

[Rezzonans]

Кстати, что интересно.. Я посмотрел форумы по ставкам, дак там нет такой проблемы с вебманями, хотя там люди тоже их активно юзают. Так что проблем где то на форуме навреное.
Все таки люди кто уже заражался и изучил вопрос, напишите что стоит сделать для предотвращения проблемы. Типа инструкции и прилепить ее куда нить, чтоб видно было всем

[Bull]

Итого.

1. Вирус, укравший у меня деньги, был новым:

Trojan-Spy.Win32.banker.quo

2. По результатам проверки и чистки моего компа он включен в базу Антивируса Капсерского 7.0.

[Aleks62]

Хорошо ,что обнаружен паразит,интересно ,у всех пострадавших этот вирус деньги украл ,или еще какой другой есть

[Bull]

Цитата:

Сообщение от Aleks62 писал вс, 16 декабря 2007 13:31

Хорошо ,что обнаружен паразит,интересно ,у всех пострадавших этот вирус деньги украл ,или еще какой другой есть

У меня все-таки есть мысль, что другой или даже другие. Потому что механизм воровства был РАЗНЫМ в ряде описанных в этой теме случаев. Если бы все пострадавшие обратились на форум Касперского до того как форматировать винт - выявили бы всех. Но и я обратился лишь потому, что lappa подсказал, молодец (сейчас рейтинг ему поставлю). А так - и "мой" вирус не был бы включен в базу, по крайней мере, сейчас.
Поэтому еще один важный вывод: надо при любом подозрении на вирус активно юзать эту возможность проверки через форум Касперского. Верда от этого не будет точно, а польза очень даже может быть.

[lappa]

Ура!
Маленькие промежуточные итоги. Я обращался ко многим пострадавшим, то было поздно, так как кто-то переставил винду, кто-то решил больше не пользоваться манями. Спасибо Булу, что он потратил кучу времени и довел дело до конца. Теперь о неприятном. Нейтрализован лишь один вирус, использующий кражу сертификатов и лайт-кипер, которому достаточно ключей-сертификатов. Второй, использующий установленный кипер, пока на свободе. Для его работы необходими, чтобы пользователь запустил программу-кипер и САМ ввел пароль. Так что эта зараза еще гуляет. Если у кого-нибудь сперли мани таким способом, стукните в личку. Еще раз напоминаю симптомы. Пользователь запускает кипер, вводит пароль. Получив сообщение о неправильности пароля, сертификаты оказываются затерты (храните на флешке). То есть невозможно зайти в кошелек. Копируйте ключи с флешки и перезапускайте кипер. Если деньги сняты, сразу и звоните, и пишите в саппорт.
пс Не было зафиксировано краж денег с рублевых кошельков, только валюта.

[Bull]

Цитата:

Сообщение от lappa писал вс, 16 декабря 2007 15:30

Ура!
Маленькие промежуточные итоги. Я обращался ко многим пострадавшим, то было поздно, так как кто-то переставил винду, кто-то решил больше не пользоваться манями. Спасибо Булу, что он потратил кучу времени и довел дело до конца. Теперь о неприятном. Нейтрализован лишь один вирус, использующий кражу сертификатов и лайт-кипер, которому достаточно ключей-сертификатов. Второй, использующий установленный кипер, пока на свободе. Для его работы необходими, чтобы пользователь запустил программу-кипер и САМ ввел пароль. Так что эта зараза еще гуляет. Если у кого-нибудь сперли мани таким способом, стукните в личку. Еще раз напоминаю симптомы. Пользователь запускает кипер, вводит пароль. Получив сообщение о неправильности пароля, сертификаты оказываются затерты (храните на флешке). То есть невозможно зайти в кошелек. Копируйте ключи с флешки и перезапускайте кипер. Если деньги сняты, сразу и звоните, и пишите в саппорт.
пс Не было зафиксировано краж денег с рублевых кошельков, только валюта.

Тут дело вот в чем - это мог быть один вирус, но с различными модификациями.
Я посмотрел вируслист Касперского - там куча модификаций с одной основой Trojan-Spy.Win32.banker.
По-любому их десятки, а может их быть сотни :?
Вывод: это не одноразовая работа, а постоянная и делать ее вообще-то должны не мы. Во время всего этого расследования у меня возник следующий вопрос на засыпку: почему Касперский не включает утилиты, которыми дает возможность пользоваться с целью получения информации о новых вирусах и модификациях старых, в саму антивирусную программу? Тем самым он получил бы ПОСТОЯННЫЙ доступ к компьютерам, подвергающимся заражению, а владельцы этих компьютеров - оперативную защиту. То есть от сигнала о заражении новым вирусом до включения этого нового вируса в базы проходило бы всего несколько часов. Это было бы взаимополезно и взаимовыгодно. Честно говоря, до меня просто не доходит, почему бы не сделать именно так.

[Grey]

Цитата:

Сообщение от Rezzonans писал

Кстати, что интересно.. Я посмотрел форумы по ставкам, дак там нет такой проблемы с вебманями, хотя там люди тоже их активно юзают. Так что проблем где то на форуме навреное.

Напрашивается вывод: троян в какой-то покерной программе (крякнутой или бесплатной).

[Bull]

Цитата:

Сообщение от Grey писал вс, 16 декабря 2007 17:32

Цитата:

Напрашивается вывод: троян в какой-то покерной программе (крякнутой или бесплатной).

У меня, например, на том компьютере, где были взломанные ВМ, нет НИ ОДНОЙ ни бесплатной, ни крякнутой покерной программы, за исключением, разумеется, самих румовских клиентов.
Да и потом, если выяснилось, что с большой вероятностью вирус был на уже известном здесь по этим событиям сайте - зачем искать другие концы?

[GamblerM1]

Я честно скажу не осилил всю тему от и до. Мне как специалисту по защите сетей представляется что:
1) Разрабатывались конкретные лица изначально
2) За их компьютерами следили достаточно долго
первые два пункта, потому как для реализации столь сложного алгоритма требовалось управление и настройка вируса дистанционно и думаю длительное время
3) Если вирус в реальности способен осуществить перевод через кипер, то снимаю перед разработчиком шляпу

и еще одно самое печальное.
4) Разработчик трояна имеет исходники кипера и если не все, то представляет как минимум как он устроен достаточно детально и владеет большей частью исходного кода так или иначе.

5) Если пункт 4 правилен, то я допускаю что ни одна существующая защита не способна поймать этот вирус, а разработчики Кипера обязаны порыться внутри себя. Думаю что вирус находиться в одной из dll кипера, которая каким то образом подменивается и написана настолько здорово, что дедовские способы проверки по контрольной сумме файла и нескольки выборрочным смещениям при запуске результата не дают.
6) Вирус почти наверняка работет через порты самого кипера.
Попробуйте включать эти порты только на короткий срок перед запуском кипера. Это должно повысить защиту.

ну и слабый совет как защититься
7)При симптомах кражи кипера немедленный ребут, через reset, сразу закрыть порты при включении компьютера, кипер не включать, звонить в саппорт.

Пахнет вообще крупной уголовкой.

[GamblerM1]

Цитата:

Сообщение от Профи писал ср, 12 декабря 2007 12:06

ОК, извините. Значит неправильно понял. Все-таки так никто и не ответил — этот троян может забираться на компы, где работают залогинившись под обычным пользователем, а не администратором. Если нет (а я на 97% уверен, что нет), то почему не все пользуются этой простейшей возможностью обезопасить свой комп и деньги.

P.S. Напишу статью об этом.

это не панацея к сожалению...хотя вирусы столь хрупки что. данную версию это возможно и прибьет. Мне, как человеку, который потенциально способен написать что-то подобное представялется что админские права на компьютер мне не потребовались бы. Потребовались бы толкьо исходники кипера. Да и еще совет в догонку, ставьте все время новые версии кипера, как только они выходят.

[Bull]

Цитата:

Сообщение от GamblerM1 писал вс, 16 декабря 2007 18:18

Цитата:

это не панацея к сожалению...хотя вирусы столь хрупки что. данную версию это возможно и прибьет. Хотя мне как человеку, который потенциально способен написать что-то подобное представялется что админские права на компьютер мне не потребовались бы. Потребовались бы толкьо исходники кипера. Да и еще совет в догонку, ставьте все время новые версии кипера, как только они выходят.

А что насчет моего случая? тут ведь исходники кипера не нужны, правильно я понимаю?
Напомню, что деньги были украдены с лайт-версии в день, когда я НЕ выходил в сеть

[Bull]

Цитата:

Сообщение от GamblerM1 писал вс, 16 декабря 2007 18:08

звонить в саппорт.

Самый смешной пункт

[GamblerM1]

Цитата:

Сообщение от bull писал вс, 16 декабря 2007 18:19

Цитата:

А что насчет моего случая? тут ведь исходники кипера не нужны, правильно я понимаю?

прочитал и про вас...:(
Кто-то выше говорил что сертификат украсть не возможно. Практически уверен в обратном, к сожалению. Но опять же при участии человека с той стороны (разработчик софта кипера, или человек имеющий исходники)

[Mercator]

Цитата:

Сообщение от GamblerM1 писал вс, 16 декабря 2007 18:08

сразу закрыть порты при включении компьютера,

Буду благодарен за пошаговую инструкцию.

[Bull]

Цитата:

Сообщение от GamblerM1 писал вс, 16 декабря 2007 18:23

Цитата:

прочитал и про вас...:(
Кто-то выше говорил что сертификат украсть не возможно. Практически уверен в обратном, к сожалению. Но опять же при участии человека с той стороны (разработчик софта кипера, или человек имеющий исходники)

Значит, моя версия о возможном сговоре, которую я высказал в самом начале своей истории, все-таки небезосновательна...

[GamblerM1]

Цитата:

Сообщение от bull писал вс, 16 декабря 2007 18:22

Цитата:

Самый смешной пункт

О нет, саппорт там довольно толковый кстати. А так как они уже признают такие преценденты, то при надлежащей постановке вопроса, возможно, приедут даже на место. Н-р российскеие разработчики банковского софта даже просто при легком дымке, когда до пожара еще далеко, выезжают на место немедленно. На западе с этим еще строже, их законадательство о программных продуктах (я впрочем более менее знаком только с американским) отвергает саму идею того (а так прописано у нас) что разработчик ПО в любом случае не несет ответственности за свой продукт в размере большеч чем его стоимость, что позволяет халатно относиться в к проблеме безопастности во всех российсикх разработчкиках, пожалуй кроме банковских.

[GamblerM1]

Цитата:

Сообщение от Mercator писал вс, 16 декабря 2007 18:23

Цитата:

Буду благодарен за пошаговую инструкцию.

В любом файрволле можно просто закрыть порты, а не так как сделано у большинства - давать все права какому то екзешнику, который запускает программу. Какие порты использует кипер, написано на их сайте.

[Bull]

Цитата:

Сообщение от GamblerM1 писал вс, 16 декабря 2007 18:26

Цитата:

О нет, саппорт там довольно толковый кстати. А так как они уже признают такие преценденты, то при надлежащей постановке вопроса, возможно, приедут даже на место.

Позвольте Вам не поверить. Я читал о многих примерах наплевательсокго отношения саппорта к таким случаям, но ни одного такого, о каком Вы говорите.

Цитата:

Сообщение от Цитата:

Н-р российскеие разработчики банковского софта даже просто при легком дымке, когда до пожара еще далеко, выезжают на место немедленно. На западе с этим еще строже, их законадательство о программных продуктах (я впрочем более менее знаком только с американским) отвергает саму идею того (а так прописано у нас) что разработчик ПО в любом случае не несет ответственности за свой продукт в размере большеч чем его стоимость, что позволяет халатно относиться в к проблеме безопастности во всех российсикх разработчкиках, пожалуй кроме банковских.

А вот это интересно. А то тут у нас споры о степени ответственности ВМ. Я считаю, что можно спорить о должной СТЕПЕНИ ответственности, но считать, что вся ответственность лежит на пользователе платежной системы - это просто правовой нигилизм.

[GamblerM1]

Цитата:

Сообщение от bull писал вс, 16 декабря 2007 18:31

Цитата:

Позвольте Вам не поверить. Я читал о многих примерах наплевательсокго отношения саппорта к таким случаям, но ни одного такого, о каком Вы говорите.

Цитата:

А вот это интересно. А то тут у нас споры о степени ответственности ВМ. Я считаю, что можно спорить о должной СТЕПЕНИ ответственности, но считать, что вся ответственность лежит на пользователе платежной системы - это просто правовой нигилизм.

Насчет саппорта вебмани - не буду спорить - людей лично не знаю. Мне лично квалифицированно и оперативно помогали несколько раз. Насчет банковских разработчиков, поверьте, там к вопросу относяться очень трепетно, знаю и уверен лично. А насчет негилизма - купите коробку с лбюым российским коммерческим продуктом (тот же 1С) и почитайте.