[Yura]

Цитата:

Сообщение от Yokker25 писал вс, 30 марта 2008 14:23

Читая этот топик у меня сложилось мнение что вирус троян,который крадет вебмани и деньги с покерных аккаунтов , пападает на комп через посещения этого форума ,а не каких то других ресурсов интернета ,насколько мои подозрения верны ???

Это довольно маловероятно... Иначе пострадавших было бы гораздо больше. Опять же, любой желающий может просмотреть коды страниц, проверить подозрительные вещи.

[Кехон]

купил комп новый буквально недели 2-3 назад. И вот что обнаружил отправив экзешник вебмани на вирустотал: PSW.Ldpinch.11.BB
Это что?
Лицензинный касперски этого почему-то не видит :?

файлы от знакомых стараюсь не принимать. сайты смотрю в ограниченном кол-ве(фишку, контакт, цгм, два конкурента цгм, шарк, одна онлайнигра + сайты румов)

З.Ы. Чем все кончилось? "кепа" нашли?
З.З.Ы. Вот что выдал вирустотал на мой экзешник кипер [Зарегистрироваться?] 4341e08a78

[Gramazeka]

Это троян. Попробуй проверь Cureit.

[D. Levisoff]

Проверил и свой экзешник вебманей
[Зарегистрироваться?] d188b29096

Heuristic: Suspicious Backdoor че за бодяга :?

[ToshiyKeks]

Цитата:

Сообщение от levis писал вт, 22 апреля 2008 21:04

Проверил и свой экзешник вебманей
[Зарегистрироваться?] d188b29096

Heuristic: Suspicious Backdoor че за бодяга :?

Не парься, у всех так
Это заморочки этого антивируса.

[Gramazeka]

Каналы утечки

Кейлоггеры — это программы (программные шпионы) либо устройства (аппаратные шпионы), которые позволяют отследить, какие именно кнопки нажимались на клавиатуре, а также какие именно точки экрана активировались с помощью мыши. Сведения о нажатии кнопок либо образы экрана (скриншоты) несанкционированно копируются в файл, а затем передаются злоумышленнику.

Передача может быть осуществлена как через Интернет, так и при помощи, например, пассивного микрофона (звук от нажатия клавиш). Либо даже по маломощному лазерному лучу, направленному на оконное стекло. На сегодняшний день насчитывается более 6 тыс. разновидностей кейлоггеров. Для сравнения: 8 лет назад было около 300 типов кейлоггеров.

Чаще всего используются программные кейлоггеры, а несанкционированная передача данных осуществляется через Интернет. Программный кейлоггер после попадания на компьютер через Интернет или съемный носитель начинает считывать данные с клавиатурного обработчика. В случае использования операционной системы Windows это стандартный BIOS-обработчик. При первом же подключении к Интернету программа-шпион отправляет данные на веб-ресурс злоумышленника. К сожалению, это самый трудно обнаружимый способ утечки информации, поскольку файл украденных данных в килобайтах “весит” очень мало (используются мощные алгоритмы сжатия), а передаваться может на электронный адрес (IP-адрес) компьютера, находящегося, например, в интернет-кафе. Злоумышленник просто “случайно” зайдет туда и скачает информацию. Юридически доказать кражу данных в данном случае будет очень трудно.

Аппаратный же шпион представляет собой независимое миниатюрное устройство автономной работы, которое вживляется непосредственно в клавиатуру или же просто крепится к ее поверхности. Он считывает скен-код клавиши (электронный импульс), минуя программные обработчики. Это повышает уровень его надежности, так как в серьезных организациях для набора конфиденциальных текстов часто используются клавиатурные шифраторы. Программный кейлоггер тоже может передать зашифрованные данные, однако для их расшифровки может понадобиться квалифицированный криптоаналитик. Аппаратный шпион избавлен от этих проблем — он передает то, что было нажато, а не то, что высветилось при этом на экране.

Еще одним видом кейлоггеров являются звуковые шпионы. Они схожи с аппаратными и обладают практически теми же достоинствами и недостатками. Звуковой кейлоггер устанавливается в радиусе до 4 м от клавиатуры. Слежение осуществляется за счет приема и обработки звука нажатия клавиш. Устройство умеет различать звук каждой отдельной клавиши. Несмотря на преимущество бесконтактного слежения, существенным минусом такого устройства является высокая вероятность погрешности, в результате случайного соскальзывания пальцев с клавиш и посторонних шумов. Данные передаются при помощи пассивного микрофона — как в обычном подслушивающем устройстве. Однако узкая специализация позволяет использовать микрофон сверхмалой мощности и существенно уменьшить его размеры. Известен случай, когда звуковой кейлоггер был выполнен в виде… канцелярской скрепки.

Защита нападением

Хотя аппаратные кейлоггеры бывают довольно экзотическими, наибольших успехов злоумышленники добились именно с помощью программных шпионов. Тому есть несколько причин — от несовершенства антивирусной защиты до человеческой психологии. Нельзя сказать, что существующие антивирусы не могут обнаружить клавиатурных шпионов. Могут, но, к сожалению, они не идентифицируют их как вирусы.

Прежде всего программному кейлоггеру надо попасть в компьютер. В отличие от вируса эта программа очень маленькая. Поэтому одним из распространенных методов проникновения является “оседлать известный вирус”. В этом случае вирус — носитель шпиона будет уничтожен защитой, о чем будет с гордостью доложено пользователю. Кейлоггер же чаще всего будет принят антивирусом за неопасный обломок программного кода. Таких обломков после уничтожения вирусов в системе остается довольно много. Кейлоггер не пытается себя копировать (размножаться) и перехватывать управление операционной системой, как это делают вирусы. Он вообще до поры до времени неактивен и не наносит никакого видимого вреда. И антивирус его не замечает.

Только при наборе текста на клавиатуре кейлоггер начинает работать. При этом он делает то же самое, что и любая служебная программа текстового редактора, например WORDa, — сканирует коды клавиш и формирует из них файл. Настроить антивирус так, чтобы он отслеживал эти действия, вполне возможно. Одна загвоздка: защита будет предупреждать пользователя о каждом таком действии, в том числе и выполняемом безобидными текстовыми редакторами. В результате при наборе, например, каждой буквы в WORDе пользователь будет получать от антивируса предупреждение: “потенциально опасное действие”. Кроме того, для каждой буквы надо будет дать антивирусу подтверждение: “разрешить”. Понятно, что это на порядок увеличит время набора любого текста, а пользователь, скорее всего, быстро сойдет с ума.

Именно поэтому функцию слежения за потенциально опасным ПО у антивирусов большинство пользователей беспощадно отключает. Даже в стандартных настройках антивирусных систем ее нет — надо искать и подключать специально. Систем же, умеющих отличить работу кейлоггера от действий WORDа, блокнота или медиаплеера, в природе не существует. И вряд ли они появятся, поскольку принцип работы шпиона тот же самый, что и у полезных программ. Результаты автор ощутил на себе, когда проводил тестирование кейлоггера на своем компьютере с включенным антивирусом (Kaspersky 6.0) и файерволом (Comodo Personal Firewall) со стандартными настройками. Защита, считающаяся довольно мощной для обычного пользователя, на запуск программы-шпиона не отреагировала никак.

Находка для шпиона

Казалось бы, шпиона можно поймать в момент передачи украденных данных на удаленный компьютер. Однако на практике это трудноосуществимо. Все дело во встроенном механизме присоединения файлов, который имеется в каждой программе электронной почты. Пользователь не видит, что кейлоггер присоединил файл с данными к обычному письму. А нажатие команды “отправить” санкционирует выход письма в Сеть. Тот же факт, что письмо ушло на один адрес, а файл с данными — на другой, защиту не волнует: пользователь отправку разрешил.

Справедливости ради заметим, что отследить шпиона все-таки можно, если защита строго следит за трафиком, не разрешает расщеплять послания на части и передавать их на разные адреса, а также запрещает пересылать скрытые файлы. Однако такие настройки наверняка вызовут возражения любого пользователя, особенно высокопоставленного. Ведь это равносильно перлюстрации электронных писем, а тайну переписки пока никто не отменял. Тем не менее реально обнаружить шпиона можно лишь в момент отправки им данных.

Еще одна опасность кейлоггеров — в их дешевизне. Это очень простая, даже примитивная программа, которая может быть успешно написана продвинутым студентом-программистом. Поэтому приобрести кейлоггер не составляет труда. Затратив немного времени на поиск, программу-шпион можно с легкостью скачать в Интернете. На запрос в поисковой системе — “как написать кейлоггер” — было выдано свыше 15 ссылок. Из них 4 первых оказались работающими (дальше не проверяли). Полностью игнорируя действующее законодательство, интернет-деятели предлагали купить и даже скачать бесплатно полный программный код различных кейлоггеров с подробными инструкциями по их самостоятельному созданию. В случае же индивидуального заказа на кейлоггер рекомендовалось обращаться к хакерам (имелись ссылки). Последние после недолгих переговоров согласились разработать кейлоггер для воровства текстов с компьютера шеф-редактора “ЭВ” всего лишь за $400.

Попытка купить в Москве аппаратный кейлоггер также, к сожалению, увенчалась успехом. Предлагались конкретные адреса, где по ценам от 4 до 25 тыс. руб. можно было приобрести все что угодно. Хотелось бы только напомнить, что использование аппаратных, звуковых и программных кейлоггеров квалифицируется Уголовным кодексом РФ как “покушение на личную или коммерческую тайну”. И срок за это предусмотрен немалый — до 6 лет лишения свободы.
"Московский комсомолец"

[pZRDp]

Что я хочу, сказать, такой вирус можно сделать на заказ всего за 500 WMZ, учитывая, то скока на нём можно наварить, это прибыльно! Люди перестаём играть в покр, анчинаем писать вирусы) шучу)

[senya]

Только что создал счет на вебмани ,проверил на вирустотал,и вот что выдало,это трояны или что?

[Зарегистрироваться?] 1ec59ce24c

[Yura]

muzhik, и более серьёзные антивири орали когда-то. Всего три и всего лишь подозрительно, это ерунда, не парься...

[Pat]

Сегодня avast нашел вирус в папке вебманей win32:Adware-gen[Awd] .
Просканировал 2 файла через вирустотал:

[Зарегистрироваться?] 4341e08a78

[Зарегистрироваться?] bbc05e8c7e

Подцепил я троян или нет? И что мне теперь делать? Webmoney не запускал.

[Yura]

Нет, не подцепил (с вероятностью 99,9%).

[Grizzy]

Проблема с троянами и вебмани решается достаточно несложно.

Введем несколько постулатов:
1. Трояны работают под платформой Windows.
2. Для заражения необходимо взаимодействие с интенрнетом, либо запуск непроверенных программ, также отсутствие установленных обновлений повышает риск заражения.
3. Грамотно написанный лично под вас троян практически невозможно обнаружить обычному пользователю.
4. Нет необходимости при работе с платежными системами в функционировании остального софта, не относящегося к этому процессу.

Идеальный вариант, отдельный компьютер, только что установленный с нуля, но это, на мой взгляд слишком затратно, так что решение такое - берем любой LIVE-CD из надежного источника, желательно на той платформе, где трояны не работают (воспользовался Knoppix). Грузимся. Подключаемся к инету. Регистрируемся на вебмани. Все данные для работы вебмани кидаем на флешку, у меня завалялась на 64 мега с аппаратной зашитой от записи. Пихаем флешку и компакт в сейф и до следующего сеанса работы с платежной системой не парим себе мозг - данных по вебманям на компьютере просто физически нет, хакиры могут ломать все что нравится... Надо вам поработаь с денежкой, достаем компашечку, заружаемся, вставляем флешку - и вуаля, лом задницей перекусывать нет нужды. Затраты - отдельный флешак и болванка. Привет троянописателям.

[Random]

Согласен, у меня примерно также устроено. Только линукс стоит второй системой на винте (Damn Small Linux, аж 50 мегабайт нужно ), в систему на всякий случай захожу юзером (не root-ом), вход в вебмани через e-num (не нужны никакие файлы ключей, кошельков, сертификатов, и зайти в кипер можно с любого компа при необходимости). Система не русифицирована, но браузер русский текст показывает, так что меня устраивает.
У кого проще и надежней? 8-)

[Grizzy]

Остановился на LIVE-CD еще и потому, что после перезагрузки не остается никакой информации на винте для ее последующего анализа, т.е. в принципе неважно, каким компьютером воспользоваться, подходит любое место.

[Random]

LIVE-CD - хороший вариант, только грузится долго. Я тут больше агитировал за e-num авторизацию. Кроме того, при помощи e-num почти половину транзакций в ВМ провожу вообще без запуска кипера и из под винды, и трояны, даже если они и есть, ничего поделать не могут.

[Mercator]

Хотелось бы узнать, были ли у кого-нибудь случаи воровства денег с WM после введения цифрового подтверждения транзакции? То есть, если не ошибаюсь, последние месяца 4?

[+EVgen]

Цитата:

Сообщение от Mercator писал ср, 20 августа 2008 16:21

Хотелось бы узнать, были ли у кого-нибудь случаи воровства денег с WM после введения цифрового подтверждения транзакции? То есть, если не ошибаюсь, последние месяца 4?

Да было. У друга сперли на этой неделе :(

[MadFish]

Prevx1 определил System Back Door - это опасно в файле вебмани экзе?

[Galina Galanova]

Приветствую всех!
Вы уважаемые форумчане помните дело о воровстве денежных средств с ВМ, через заражение вирусом "троян"... :(
В моем городе, благодаря бдительности и активности правоохранительных органов, были задержаны и привлечены к уголовной ответственности двое злоумышленников , так называемое низшее звено - "обнальщики"
Так вот, следствие закончилось, состоялось судебное заседание , вынесли приговор ( сегодня он вступил в законную силу) по ст.272; ст.273 УК РФ, - обвиняемые осуждены , на 2 года лишения свободы (условно ) ,с взысканием штрафа в размере двухсот минимальных размеров оплаты труда, в пользу государства.
Осужденные вину признали, раскаялись, вернули пострадавшим предъявленные к возмещению средства и согласны с вынесенным приговором.
Ну вот и все!
Я закончила, то дело которое начинала в прошлом году.., все что было в моих силах сделано...
К сожалению наказаны, только самые "мелкие исполнители".., организатор или организаторы :(( , не установлены.., нет информации.., но воровство прекратилось (очень надеюсь на это..) , часть форумчан вернули свои средства, исходные данные вирусов отправлены в компании по разработке антивирусных программ, а это значит все было -НЕ ЗРЯ!
Спасибо всем ,кто помогал и поддерживал в этом деле!
Особая благодарность Профи , lappa , всем другим форумчанам, принимавшим активное участие в этом деле..
Удачи и будте всегда бдительны!

[stein]

Респект. Даже не знаю что еще сказать. Уважуха одним словом.