WM. Троян.

takethefly · 08.11.2009, 14:45

Люди, на 39 странице написано, что в антивирусники были отосланы коды, так что обновляйте базы и не нойте.
Да и вообще, вы сами виноваты, что у вас трояны. Трояны на комп не попадают, как Лавсан в свое время. Значит вы сами что-то качали или общались с не теми людьми.

comanda_n · 19.12.2009, 07:19

До сегодняшнего вечера я тоже думал, что дело в "кривых пользователях".
Недавно заказал деньги на вывод с покеррума. Сегодня смотрю - курс доллара, думаю "Надо поменять".Зашёл в кипер, деньги пришли. На бирже курс 30.4, а по заявленному 30.7 - думаю поменяю вечером.
Вечером захожу, а кошельки пусты. -10 000 WMZ
В сообщениях есть даже номер счёта куда вывели.
Обзвонил все инстанции, вплоть до банка.
Теперь жду сообщение от арбитража.
Постоянно стоит антивирус, фаервол, свежие базы. Система проверялась 3-мя антивирусами с лайв сиди 3 дня назад. Нечего не было.
Ключи находятся на съёмном носителе - вставляется только когда выхожу в кипер на пару минут. Активация оборудования через телефон.
Получается продумал защиту не всю... Сижу думаю в ночи, спать не могу...
Какая-то хитрая падла спиздила всё что я нажил бессоными ночами за столами...

screamwithme · 19.12.2009, 09:54

Лол. Юзай ENUM!!
и поставь вход с одного IP.

comanda_n · 20.12.2009, 06:47

мда... прочитал данную ветку... очень жаль, что до момента кражи не читал... очень много нового подчерпнул. (Пользовался ВМ больше 5 лет без проблем)
Похоже ENUM теперь только и остался)
Есть ещё вариант не пользоваться ВМ. (Буду скоро рассматривать)
Но это после подачи заявления в милицию, ловли и отсылки вируса.
Надеюсь, что хакера соответствующий отдел возьмёт за яйца.

papazol · 20.12.2009, 20:39

Сочувствую.
Время кражи стандартное... выходные...арбитраж прочухается только завтра к обеду.. пришлют стандартную отписку - на компе троян...заблочат твой кошель ...потом пошлют в милицию...

Активация оборудования через телефон.
Время перевода видишь? В это время у тебя кипер был активен?

comanda_n · 20.12.2009, 21:25

Арбитраж тот ещё случай. Милиция тоже. У них же выходные в эти дни...
По горячим следам можно было сразу всё сделать. Я сам пробывал, но прав не
достаточно - везде в милицию послали. А это всё затягивается на месяцы похоже.

>Время перевода видишь? В это время у тебя кипер был активен?
Время видно, так как по горячим следам. Прошло где-то 3 часа.
Нет, кипер активен не был.

papazol · 20.12.2009, 21:40

>Нет, кипер активен не был.
Тогда совсем кисло.. это не первая кража, где воры смогли обойти Активацию через телефон...
и ENUM не панацея...
Лана... надеюсь, что шанс вернуть деньги у тебя хоть какой то есть...лично я в этой дыре приличных денег больше не держу...

comanda_n · 20.12.2009, 23:50

Спасибо. Я тоже надеюсь.
Я похоже тоже больше пользоваться не буду... так, телефон оплачивать

Forсe · 22.12.2009, 20:05

лучшая защита на вебманях - это вм кипер лайт. Причем сертификат можно держать на флешке, когда нужно что-то перевести устанавливаем в 2 клика в браузере и после окончания работы удаляем.
Плюс еще можно создать второй счет и с одного счета на другой постоянно пересылать деньги с кодом по протекции (комиссия за переводы внутри кипера не береться). Т.е деньги постоянно находятся в воздухе под кодом. Когда нужны средства вводим код, деньги падают на счет, тратим сколько нужно и опять отправляем деньги. =)

Neblefuj · 22.12.2009, 21:54

Надо подметить, что если вдруг накроется история операций, извлечь свои деньги, посланные себе с протекцией, будет непросто.

comanda_n · 23.12.2009, 01:13

Мда...
А тем временем пошёл 5-й день, а ВМ мне компасирует мозги. В дальнейшем опишу, каким образом... Я им это пообещал)) Сейчас занят составлением документов для подачи в Отдел К. Прошло 5!!! дней, а ещё нечего не сдвинуто с мёртвой точки)))

mr_heartless · 28.01.2010, 08:26

Друзья... Я в такой же беде!
24/01/2010 в обед украли всё (хорошо, что за день до этого оплатил квартиру)... Чёрт чёрт чёрт! (((((((((
24/01/2010.. вечером пришёл вывод с FTP 100$! Благодарен, что деньги пришли с тормозом и ВОРЫ не украли и их.. ВЫВЕЛ через телефон на другой WMID, он подключался к кошельку, в отличие от Keeper Classic..
И так: Стоит "KIS 8" Новые базы + рабочие ключи...
И только когда обнаружил пропажу, просканировал весь комп и нашёл: Troyan.Zbot и Troyan.WebMoner....
Печально... Три месяца назад это был недельный РБ, а сегодня это было 1/2 БР ((((
----------

troll891 · 19.02.2010, 10:59

Цитата:

Сообщение от mr_heartless

Друзья... Я в такой же беде!

И только когда обнаружил пропажу, просканировал весь комп и нашёл: Troyan.Zbot и Troyan.WebMoner....

чем сканил? значит все таки антивирь все это дело находит и своевременные проверки спасут =) ?

sqsq · 19.02.2010, 14:00

может не стоит пиратское по юзать и комп чаще сканить?

skripper · 19.02.2010, 17:00

Цитата:

Сообщение от mr_heartless

Друзья... Я в такой же беде!
24/01/2010 в обед украли всё (хорошо, что за день до этого оплатил квартиру)... Чёрт чёрт чёрт! (((((((((
И так: Стоит "KIS 8" Новые базы + рабочие ключи...

----------

Очень сочувствую, тоже стоит KIS, только странно одно. Я уже полгода как на 9 версии, трудно зайти на сайт и обновить?

blink · 23.02.2010, 14:25

Ахтунг!!!

"Несколько российских и украинских интернет-ресурсов со ссылками один на другой сообщили о начале эпидемии вируса, крадущего деньги с кошельков в системе WebMoney.
Речь идет о трояне WM Stealer, о котором стало известно в конце прошлого года, когда на одном из форумов он был выставлен на продажу по цене $2000. В сопутствующем сообщении говорилось, что "работает он по тому же принципу, что и нашумевший WM Inside, т.е. после похищения данных активировать кипер на новом оборудовании нет необходимости - клиентская часть сэмулирует программно-аппаратное окружение. Правда, в отличие от WMInside, WM Stealer поддерживает не только старый, но и новый кипер, а так же грабит баланс (отображаются только ненулевые кошельки). Для удобства троян поддерживает отчеты WMInside. Написан на ассемблере, имеет небольшой размер и стабильно работает в системе, по завершению работы самоудаляется."
Кроме этого, уточнялось, что "для успешной работы клиента (обхода активации оборудования) необходимо, чтобы IP адрес, с которого кипер был запущен в прошлый раз и ваш текущий IP адрес должны совпадать хотя бы первыми двумя числами".
На компьютере жертвы зловред "заменяет" файл динамической библиотеки inetmib1.dll, находящийся в системной папке windows/system32/ или windows/system32/dllcache (прописывает к ней другой путь), и сохраняет поддельный inetmib1.dll в произвольном месте. После этого при запуске клиентской программы [Зарегистрироваться?] производится подключение уже инфицированного файла библиотеки inetmib1.dll и происходит скрытая передача данных, в том числе реквизитов, паролей и ключей владельца WebMoney-кошелька, "куда надо".

EBGEN · 25.03.2010, 21:23

а если постоянно устанавливать(когда нужно) и удалять кипер классик??
спасешься или нет???
просто я тут игруху пиратскую устанавливал, она не пошла, а сообщение было типа /windows/system32/confyg/SYSTEM, но пока вроде не украли, пронесло? на кошеле 1800 баков.
я как тему почитал, удалил сразу кипер - спасет?
антивырус - бета нортона 360 на 60 дней.
что делать то, если троян вдруг есть? тем более, что пишут, что не палится антивирусником((( винду переставлять? тоже гимор тот еще

xpr · 26.03.2010, 03:30

Достаточно просто пользоваться webmoney/moneybookers/etc с виртуальной машины (напр. VMWARE Workstation), которая хранится на флешке и больше ничего на ней не делать и никаких проблем с троянами не будет, хотя думаю в теме уже 100 раз писали об этом.

Lovchiy · 26.03.2010, 05:56

насчет виртуальной машины! Как реально все это делается? (уровень - продвинутый пользователь)
То есть разобраться могу, но с какого конца подходить к решению вопроса - не знаю. Часто встречаю ссылки на виртуальную машину или виртуальную "клаву" - интересно, но не понятно.

ЗЫ с такими "головняками" от ВМ - хочется вообще прекратить использование системы. Больше времени (и нервов) я потеряю на защите СВОИХ денег.

CrazyMonkey · 26.03.2010, 07:35

главное когда работаешь с ВМ кошельком,заходить в систему с пользователя и открывать прогу от лица администратора + активация на телефон и блокировка по ip-адресу ,и будет вам счастье

08.11.2009, 14:45	#821 (permalink)
takethefly Незнакомец Регистрация: 10.10.2009 Сообщений: 21	Люди, на 39 странице написано, что в антивирусники были отосланы коды, так что обновляйте базы и не нойте. Да и вообще, вы сами виноваты, что у вас трояны. Трояны на комп не попадают, как Лавсан в свое время. Значит вы сами что-то качали или общались с не теми людьми.
	Ответить 0

19.12.2009, 07:19	#822 (permalink)
comanda_n Незнакомец Регистрация: 15.07.2009 Сообщений: 8	До сегодняшнего вечера я тоже думал, что дело в "кривых пользователях". Недавно заказал деньги на вывод с покеррума. Сегодня смотрю - курс доллара, думаю "Надо поменять".Зашёл в кипер, деньги пришли. На бирже курс 30.4, а по заявленному 30.7 - думаю поменяю вечером. Вечером захожу, а кошельки пусты. -10 000 WMZ В сообщениях есть даже номер счёта куда вывели. Обзвонил все инстанции, вплоть до банка. Теперь жду сообщение от арбитража. Постоянно стоит антивирус, фаервол, свежие базы. Система проверялась 3-мя антивирусами с лайв сиди 3 дня назад. Нечего не было. Ключи находятся на съёмном носителе - вставляется только когда выхожу в кипер на пару минут. Активация оборудования через телефон. Получается продумал защиту не всю... Сижу думаю в ночи, спать не могу... Какая-то хитрая падла спиздила всё что я нажил бессоными ночами за столами...
	Ответить 0

19.12.2009, 09:54	#823 (permalink)
screamwithme Небессмертны Регистрация: 25.02.2008 Адрес: Starcity Сообщений: 3,321	Лол. Юзай ENUM!! и поставь вход с одного IP. __________________ "Есть одно замечание – наша страна называется не Белоруссия, а Беларусь." (с) экс премьер-министр С. Сидорский
	Ответить 0

20.12.2009, 06:47	#824 (permalink)
comanda_n Незнакомец Регистрация: 15.07.2009 Сообщений: 8	мда... прочитал данную ветку... очень жаль, что до момента кражи не читал... очень много нового подчерпнул. (Пользовался ВМ больше 5 лет без проблем) Похоже ENUM теперь только и остался) Есть ещё вариант не пользоваться ВМ. (Буду скоро рассматривать) Но это после подачи заявления в милицию, ловли и отсылки вируса. Надеюсь, что хакера соответствующий отдел возьмёт за яйца.
	Ответить 0

20.12.2009, 20:39	#825 (permalink)
papazol Незнакомец Регистрация: 11.03.2009 Сообщений: 8	Сочувствую. Время кражи стандартное... выходные...арбитраж прочухается только завтра к обеду.. пришлют стандартную отписку - на компе троян...заблочат твой кошель ...потом пошлют в милицию... Активация оборудования через телефон. Время перевода видишь? В это время у тебя кипер был активен?
	Ответить 0

20.12.2009, 21:25	#826 (permalink)
comanda_n Незнакомец Регистрация: 15.07.2009 Сообщений: 8	Арбитраж тот ещё случай. Милиция тоже. У них же выходные в эти дни... По горячим следам можно было сразу всё сделать. Я сам пробывал, но прав не достаточно - везде в милицию послали. А это всё затягивается на месяцы похоже. >Время перевода видишь? В это время у тебя кипер был активен? Время видно, так как по горячим следам. Прошло где-то 3 часа. Нет, кипер активен не был.
	Ответить 0

20.12.2009, 21:40	#827 (permalink)
papazol Незнакомец Регистрация: 11.03.2009 Сообщений: 8	>Нет, кипер активен не был. Тогда совсем кисло.. это не первая кража, где воры смогли обойти Активацию через телефон... и ENUM не панацея... Лана... надеюсь, что шанс вернуть деньги у тебя хоть какой то есть...лично я в этой дыре приличных денег больше не держу...
	Ответить 0

20.12.2009, 23:50	#828 (permalink)
comanda_n Незнакомец Регистрация: 15.07.2009 Сообщений: 8	Спасибо. Я тоже надеюсь. Я похоже тоже больше пользоваться не буду... так, телефон оплачивать
	Ответить 0

22.12.2009, 20:05	#829 (permalink)
Forсe Ветеран Регистрация: 01.10.2008 Сообщений: 1,234	лучшая защита на вебманях - это вм кипер лайт. Причем сертификат можно держать на флешке, когда нужно что-то перевести устанавливаем в 2 клика в браузере и после окончания работы удаляем. Плюс еще можно создать второй счет и с одного счета на другой постоянно пересылать деньги с кодом по протекции (комиссия за переводы внутри кипера не береться). Т.е деньги постоянно находятся в воздухе под кодом. Когда нужны средства вводим код, деньги падают на счет, тратим сколько нужно и опять отправляем деньги. =) __________________
	Ответить 0

22.12.2009, 21:54	#830 (permalink)
Neblefuj Участник Регистрация: 23.05.2008 Адрес: Москва Сообщений: 100	Надо подметить, что если вдруг накроется история операций, извлечь свои деньги, посланные себе с протекцией, будет непросто.
	Ответить 0

23.12.2009, 01:13	#831 (permalink)
comanda_n Незнакомец Регистрация: 15.07.2009 Сообщений: 8	Мда... А тем временем пошёл 5-й день, а ВМ мне компасирует мозги. В дальнейшем опишу, каким образом... Я им это пообещал)) Сейчас занят составлением документов для подачи в Отдел К. Прошло 5!!! дней, а ещё нечего не сдвинуто с мёртвой точки)))
	Ответить 0

28.01.2010, 08:26	#832 (permalink)
mr_heartless Незнакомец Регистрация: 17.03.2009 Адрес: Минск Сообщений: 20	Друзья... Я в такой же беде! 24/01/2010 в обед украли всё (хорошо, что за день до этого оплатил квартиру)... Чёрт чёрт чёрт! ((((((((( 24/01/2010.. вечером пришёл вывод с FTP 100$! Благодарен, что деньги пришли с тормозом и ВОРЫ не украли и их.. ВЫВЕЛ через телефон на другой WMID, он подключался к кошельку, в отличие от Keeper Classic.. И так: Стоит "KIS 8" Новые базы + рабочие ключи... И только когда обнаружил пропажу, просканировал весь комп и нашёл: Troyan.Zbot и Troyan.WebMoner.... Печально... Три месяца назад это был недельный РБ, а сегодня это было 1/2 БР (((( ----------
	Ответить 0

19.02.2010, 14:00	#834 (permalink)
sqsq Заблокирован Регистрация: 10.10.2009 Сообщений: 1,030	может не стоит пиратское по юзать и комп чаще сканить?
	Ответить 0

23.02.2010, 14:25	#836 (permalink)
blink Аксакал Регистрация: 14.11.2008 Адрес: St Petersburg Сообщений: 1,647	Ахтунг!!! "Несколько российских и украинских интернет-ресурсов со ссылками один на другой сообщили о начале эпидемии вируса, крадущего деньги с кошельков в системе WebMoney. Речь идет о трояне WM Stealer, о котором стало известно в конце прошлого года, когда на одном из форумов он был выставлен на продажу по цене $2000. В сопутствующем сообщении говорилось, что "работает он по тому же принципу, что и нашумевший WM Inside, т.е. после похищения данных активировать кипер на новом оборудовании нет необходимости - клиентская часть сэмулирует программно-аппаратное окружение. Правда, в отличие от WMInside, WM Stealer поддерживает не только старый, но и новый кипер, а так же грабит баланс (отображаются только ненулевые кошельки). Для удобства троян поддерживает отчеты WMInside. Написан на ассемблере, имеет небольшой размер и стабильно работает в системе, по завершению работы самоудаляется." Кроме этого, уточнялось, что "для успешной работы клиента (обхода активации оборудования) необходимо, чтобы IP адрес, с которого кипер был запущен в прошлый раз и ваш текущий IP адрес должны совпадать хотя бы первыми двумя числами". На компьютере жертвы зловред "заменяет" файл динамической библиотеки inetmib1.dll, находящийся в системной папке windows/system32/ или windows/system32/dllcache (прописывает к ней другой путь), и сохраняет поддельный inetmib1.dll в произвольном месте. После этого при запуске клиентской программы [Зарегистрироваться?] производится подключение уже инфицированного файла библиотеки inetmib1.dll и происходит скрытая передача данных, в том числе реквизитов, паролей и ключей владельца WebMoney-кошелька, "куда надо". __________________ "Жизнь все время отвлекает наше внимание; и мы даже не успеваем заметить, от чего именно."
	Ответить 0

25.03.2010, 21:23	#837 (permalink)
EBGEN Незнакомец Регистрация: 25.03.2010 Сообщений: 9	а если постоянно устанавливать(когда нужно) и удалять кипер классик?? спасешься или нет??? просто я тут игруху пиратскую устанавливал, она не пошла, а сообщение было типа /windows/system32/confyg/SYSTEM, но пока вроде не украли, пронесло? на кошеле 1800 баков. я как тему почитал, удалил сразу кипер - спасет? антивырус - бета нортона 360 на 60 дней. что делать то, если троян вдруг есть? тем более, что пишут, что не палится антивирусником((( винду переставлять? тоже гимор тот еще
	Ответить 0

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Троян у хайроллеров	CGM.RU	Новости, статьи, репортажи..	0	13.12.2013 09:40
Троян блокирован	_Ali_	Техническая поддержка форума	9	29.11.2012 22:21
Троян в SharkScope!!!	Evgesha	Программное обеспечение	15	05.11.2009 21:08
Как удалить троян?	Buracino	Поговорим за жизнь	22	25.09.2007 23:37
троян	ежык	Поговорим за жизнь	12	18.11.2006 15:21

26.03.2010, 03:30	#838 (permalink)
xpr Увлечённый Регистрация: 08.02.2009 Адрес: Москва Сообщений: 451	Достаточно просто пользоваться webmoney/moneybookers/etc с виртуальной машины (напр. VMWARE Workstation), которая хранится на флешке и больше ничего на ней не делать и никаких проблем с троянами не будет, хотя думаю в теме уже 100 раз писали об этом. __________________ check/folding the nuts for metagame
	Ответить 0

26.03.2010, 05:56	#839 (permalink)
Lovchiy Новичок Регистрация: 24.01.2010 Адрес: Тольятти Сообщений: 42	насчет виртуальной машины! Как реально все это делается? (уровень - продвинутый пользователь) То есть разобраться могу, но с какого конца подходить к решению вопроса - не знаю. Часто встречаю ссылки на виртуальную машину или виртуальную "клаву" - интересно, но не понятно. ЗЫ с такими "головняками" от ВМ - хочется вообще прекратить использование системы. Больше времени (и нервов) я потеряю на защите СВОИХ денег. __________________ "...человека нельзя списывать со счетов до тех пор, пока на сукно не ляжет последняя карта"
	Ответить 0

26.03.2010, 07:35	#840 (permalink)
CrazyMonkey Заблокирован Регистрация: 21.08.2009 Адрес: Казань Сообщений: 694	главное когда работаешь с ВМ кошельком,заходить в систему с пользователя и открывать прогу от лица администратора + активация на телефон и блокировка по ip-адресу ,и будет вам счастье
	Ответить 0