Регистрация
Регистрация Поиск Пользователи Все разделы прочитаны  
Важные объявления
Старый 13.10.2007, 22:03     TS Старый   #1 (permalink)
Аксакал
 
Аватар для san_piter
 
Регистрация: 15.01.2006
Адрес: Питер
Сообщений: 2,211
В последний месяц (вроде как) появился троян для WM.
Сделан он, как я понимаю, "на заказ" и антивирусы (Norton 360, NOD32) его не видят. Проходит вроде как через дырки в Java-машине, т.е. регулярного апдейта Windows не достаточно.

Троян выставляет root-kit, который не обнаруживается антивирусным софтом. Реально я смог найти root-kit только при помощи UnHackMe([Зарегистрироваться?], входит в RegRun Platinum).
Проявление трояна (возможно уже после того, как сворует деньги, но скорее всего - одновременно) - при заходе в WM keeper прога пишет, что некоректный пароль, а при попытке инициализации при помощи KWM-файла, троян обнуляет этот файл.

Резюме (те ошибки, которые я допустил):
- Не держите в WM свой банкрол
- Старайтесь заходить в кипер только в рабочие часы, когда вы сможете связаться с WebMoney с просьбой заблокировать акк (ваш и того, куда ушли деньги, если уже ушли)- думаю, что с момента, когда вы не смогли зайти в систему до того момента, когда деньги уже ушли, если реально пара минут.
- Антивирус + Файрвол - недостаточно для спокойствия. Нужен еще и Anti-rootkit, который бы грузился до старта системы (сразу после chkdsk) и мониторил все, что грузится на ваш комп.
- Не думайте, что с вами этого не может произойти.
- Настройте кипер на нескольких машинах, чтобы успеть что-нибудь сделать со своими деньгами с чистой машины.

У меня стащили в районе чуть больше 2к WMZ. Месяц назад там лежало 16к, но по счастливой случайности как раз до этого момента вывел их.
san_piter вне форума      
Старый 13.10.2007, 22:46   #2 (permalink)
Бессмертный
 
Аватар для Bull
 
Регистрация: 06.04.2005
Адрес: Ростов
Сообщений: 2,716
Цитата:
Сообщение от san_piter писал сб, 13 октября 2007 22:03
Троян выставляет root-kit, который не обнаруживается антивирусным софтом. Реально я смог найти root-kit только при помощи UnHackMe([Зарегистрироваться?] входит в RegRun Platinum).
Проявление трояна (возможно уже после того, как сворует деньги, но скорее всего - одновременно) - при заходе в WM keeper прога пишет, что некоректный пароль, а при попытке инициализации при помощи KWM-файла, троян обнуляет этот файл.
Тема очень важная, поэтому хотелось бы уточнить. Это ОБЯЗАТЕЛЬНАЯ процедура для эффективной работы трояна - сообщение о некорректности пароля и инициализация при помощи KWM-файла?
__________________
Cuius rei demonstrationem mirabilem sane setex hanc marginis exiguitas non caparet

Bull вне форума      
Старый 13.10.2007, 22:59   #3 (permalink)
Бессмертный
 
Аватар для kozmor
 
Регистрация: 21.07.2005
Адрес: Питер
Сообщений: 3,351
интересно а как подобрали пароль к файлу ключей? Вообще очень сочуствую топикстартеру, сам реально озабочен безопасностью...
__________________
По всем вопросам пишите на oleg_kan@rambler.ru
kozmor вне форума      
Старый 13.10.2007, 23:22   #4 (permalink)
Аксакал
 
Аватар для Alexismoon
 
Регистрация: 07.09.2006
Адрес: Воронеж
Сообщений: 2,084
san_piter по ссыле пустая страница - а прогу такую поставить надо бы...
__________________
Куда ни глянь - везде увидишь ты себя.
Alexismoon вне форума      
Старый 14.10.2007, 00:03     TS Старый   #5 (permalink)
Аксакал
 
Аватар для san_piter
 
Регистрация: 15.01.2006
Адрес: Питер
Сообщений: 2,211
Цитата:
Сообщение от bull писал сб, 13 октября 2007 22:46
Тема очень важная, поэтому хотелось бы уточнить. Это ОБЯЗАТЕЛЬНАЯ процедура для эффективной работы трояна - сообщение о некорректности пароля и инициализация при помощи KWM-файла?
Насколько я это понимаю, "инициализация" KWM файла трояну нужна только для того, чтобы обунлить его, что сильно усложняет доступ к аккаунту для его владельца.
san_piter вне форума      
Старый 14.10.2007, 00:04     TS Старый   #6 (permalink)
Аксакал
 
Аватар для san_piter
 
Регистрация: 15.01.2006
Адрес: Питер
Сообщений: 2,211
Цитата:
Сообщение от Alexismoon писал сб, 13 октября 2007 23:22
san_piter по ссыле пустая страница - а прогу такую поставить надо бы...
Там в URL запитая стояла лишняя. Вообще, эта прога тоже не панацея.
Единственное, что она сделала, что не смогли сделать антивирусы - она нашла rootkit (при перезагрузке компьютера). А вот насчет блокирования его установки - не уверен, что она сильно поможет.
Опять таки, судя по тому, что WM кипер до сих пор ведет себя так же, как после взлома, заразу я так и не убрал... похоже придется переставлять систему :(
san_piter вне форума      
Старый 14.10.2007, 00:09     TS Старый   #7 (permalink)
Аксакал
 
Аватар для san_piter
 
Регистрация: 15.01.2006
Адрес: Питер
Сообщений: 2,211
Цитата:
Сообщение от MOR писал сб, 13 октября 2007 22:59
интересно а как подобрали пароль к файлу ключей? Вообще очень сочуствую топикстартеру, сам реально озабочен безопасностью...
Думаю, что пароль не подбирали - я же его сам ввожу при старте кипера.
Т.е. алгоритм, как я понимаю был такой:
- кипер запрашивает пароль, троян его перехватывает
- в открытой пользователем сессии троян подсовывает киперу левый пароль.
Далее параллельно:
- троян стартует сессию с правильным паролем и выводит деньги
- кипер запрашивает KWM файл, а троян перехватывает его и затирает.


Вообще говоря, мне не очень нравится в этом плане страусиная политика самих WebMoney. Судя по сообщениям на их форуме, этот троян активен где-то месяц. Но при этом, даже упоминания в новостях на сайте WebMoney нет.

При том, что в кипере так навернуто с секьюрностью (файлы с ключом, блокировка по IP, число тьюринга при переводе), как-то не думал, что вся эта секьюрность тек легко может пойти лесом.

А всего-то для секьюрности надо было в кипере сделать одну мааааленькую опцию:
Разрешить пользователю ставить лимит на размер транзакций (кроме специально указанных аккаунтов) и блокировать изменение этого лимита (и списка спец. аккаунтов) на сутки.
san_piter вне форума      
Старый 14.10.2007, 00:17   #8 (permalink)
Бессмертный
 
Аватар для kozmor
 
Регистрация: 21.07.2005
Адрес: Питер
Сообщений: 3,351
как я поинмаю, кипер не будет работать если нет файла ключей, значит троян должен еще и файл ключей скопировать. Затем есть еще отдельный пароль для файла ключей(может у тебя он одинаковый), они и его должны украсть, вот наверное зачем нужна инициализация...Потом еще присылают код инициализации на ящик нужен доступ к мылу...
А вообще реально людей вычислить? Как -то они же вывели деньги? Или завели в покеррум и слили дружбану?... :(
__________________
По всем вопросам пишите на oleg_kan@rambler.ru
kozmor вне форума      
Старый 14.10.2007, 00:22   #9 (permalink)
Бессмертный
 
Аватар для kozmor
 
Регистрация: 21.07.2005
Адрес: Питер
Сообщений: 3,351
Цитата:
Сообщение от san_piter писал вс, 14 октября 2007 00:09
Цитата:
Сообщение от MOR писал сб, 13 октября 2007 22:59
интересно а как подобрали пароль к файлу ключей? Вообще очень сочуствую топикстартеру, сам реально озабочен безопасностью...
А всего-то для секьюрности надо было в кипере сделать одну мааааленькую опцию:
Разрешить пользователю ставить лимит на размер транзакций (кроме специально указанных аккаунтов) и блокировать изменение этого лимита (и списка спец. аккаунтов) на сутки.
Хорошо бы на самом деле так сделали... А в румах убрали бы смену пароля такую простую...

Кстати, может попробывать сделать блокировку по ай-пи? Кто-нибудь делал?
__________________
По всем вопросам пишите на oleg_kan@rambler.ru
kozmor вне форума      
Старый 14.10.2007, 00:24     TS Старый   #10 (permalink)
Аксакал
 
Аватар для san_piter
 
Регистрация: 15.01.2006
Адрес: Питер
Сообщений: 2,211
Цитата:
Сообщение от MOR писал вс, 14 октября 2007 00:17
как я поинмаю, кипер не будет работать если нет файла ключей, значит троян должен еще и файл ключей скопировать. Затем есть еще отдельный пароль для файла ключей(может у тебя он одинаковый), они и его должны украсть, вот наверное зачем нужна инициализация...Потом еще присылают код инициализации на ящик нужен доступ к мылу...
В последних киперах, как я понимаю, файл ключа нужен только для подключения к аккаунту. Если комп уже подключен к аккауну, то ни ключ, ни тем более пароль к нему не нужны.
Собственно до ввода пароля к файлу с ключом дело не доходит - он обнуляется и "кипер" сообщает, что KWM-файл кривой.
Мыло им тоже не нужно - они с моего компа работают с моим аккаунтом.

Цитата:
Сообщение от MOR писал вс, 14 октября 2007 00:17
А вообще реально людей вычислить? Как -то они же вывели деньги? Или завели в покеррум и слили дружбану?... :(
Мои деньши ушли в E-Gold. Думаю, что цепочка достаточно длинная.
Будь я вором, я бы, конечно, подчистил бы хвосты через покеррум. Как было конкретно в моем случае - не знаю. Думаю, что уже и не узнаю.
san_piter вне форума      
Старый 14.10.2007, 00:26     TS Старый   #11 (permalink)
Аксакал
 
Аватар для san_piter
 
Регистрация: 15.01.2006
Адрес: Питер
Сообщений: 2,211
Цитата:
Сообщение от MOR писал вс, 14 октября 2007 00:22
Кстати, может попробывать сделать блокировку по ай-пи? Кто-нибудь делал?
Блокирову по IP в WM? Я делал. Абсолютно безполезно.
san_piter вне форума      
Старый 14.10.2007, 00:27   #12 (permalink)
Бессмертный
 
Аватар для kozmor
 
Регистрация: 21.07.2005
Адрес: Питер
Сообщений: 3,351
понятно :( , надо узнать про блокировку по айпи...
__________________
По всем вопросам пишите на oleg_kan@rambler.ru
kozmor вне форума      
Старый 14.10.2007, 00:28   #13 (permalink)
Бессмертный
 
Аватар для kozmor
 
Регистрация: 21.07.2005
Адрес: Питер
Сообщений: 3,351
Цитата:
Сообщение от MOR писал вс, 14 октября 2007 00:27
понятно :( , надо узнать про блокировку по айпи...
точно, они же с твоего компа и работают.... :(
__________________
По всем вопросам пишите на oleg_kan@rambler.ru
kozmor вне форума      
Старый 14.10.2007, 00:31   #14 (permalink)
Бессмертный
 
Аватар для kozmor
 
Регистрация: 21.07.2005
Адрес: Питер
Сообщений: 3,351
Еще одной вещи не допонял, как подцепил троян? Это надо же что-то у себя сохранить и запустить это? или нет?
__________________
По всем вопросам пишите на oleg_kan@rambler.ru
kozmor вне форума      
Старый 14.10.2007, 00:41     TS Старый   #15 (permalink)
Аксакал
 
Аватар для san_piter
 
Регистрация: 15.01.2006
Адрес: Питер
Сообщений: 2,211
Цитата:
Сообщение от MOR писал вс, 14 октября 2007 00:31
Еще одной вещи не допонял, как подцепил троян? Это надо же что-то у себя сохранить и запустить это? или нет?
Надо зайти на сайт, где он сидит.
san_piter вне форума      
Старый 14.10.2007, 01:20   #16 (permalink)
Аксакал
 
Аватар для X-Mage
 
Регистрация: 29.03.2006
Адрес: Petersburg
Сообщений: 1,977
san_piter, ты не пробовал отсылать этот троян в какую-нибудь антивирусную компанию? К Касперу, например? Они оперативно работают.
__________________
ушел с форума
X-Mage вне форума      
Старый 14.10.2007, 03:17     TS Старый   #17 (permalink)
Аксакал
 
Аватар для san_piter
 
Регистрация: 15.01.2006
Адрес: Питер
Сообщений: 2,211
Цитата:
Сообщение от X-Mage писал вс, 14 октября 2007 01:20
san_piter, ты не пробовал отсылать этот троян в какую-нибудь антивирусную компанию? К Касперу, например? Они оперативно работают.
У меня "исходника" не осталось.
К тому же, имхо, это бессмыслено - это ведь не вирус в чистом смысле.
Ну будет заплатка в Касперском, воры немного смодифицируют код.
Я сам в свое время на крупную антивирусную контору работал, знаю всю эту кухню изнутри.
san_piter вне форума      
Старый 14.10.2007, 03:28   #18 (permalink)
Ветеран
 
Аватар для salova
 
Регистрация: 26.07.2007
Адрес: Kiev
Сообщений: 1,215
Отправить сообщение для salova с помощью ICQ
можно ссылку на прогу через которую можно обнаружить этот троян?.. и ещё просьба обьяснить как этот троян можно подцепить?
месяц назад я попал на 4К из схожей проги.. теперь купил второй копм.. на 1 чисто стоят покерные румы..ни на какие сайты не на захожу.. могу ли я быть уверен что никакого трояна не подхвачу.. если на кроме румов запускать ничего не буду..
обжогшись на молоке, дуешь на воду..
salova вне форума      
Старый 14.10.2007, 03:36   #19 (permalink)
Ветеран
 
Аватар для cassolete
 
Регистрация: 26.01.2005
Сообщений: 1,511
Я редко работаю с WM, но тема очень существенная. Спасибо постеру, ставлю рейтинг.
__________________
снятие порчи, сглаза, установка на удачу
cassolete вне форума      
Старый 14.10.2007, 03:39     TS Старый   #20 (permalink)
Аксакал
 
Аватар для san_piter
 
Регистрация: 15.01.2006
Адрес: Питер
Сообщений: 2,211
Цитата:
Сообщение от salova писал вс, 14 октября 2007 03:28
можно ссылку на прогу через которую можно обнаружить этот троян?.. и ещё просьба обьяснить как этот троян можно подцепить?
месяц назад я попал на 4К из схожей проги.. теперь купил второй копм.. на 1 чисто стоят покерные румы..ни на какие сайты не на захожу.. могу ли я быть уверен что никакого трояна не подхвачу.. если на кроме румов запускать ничего не буду..
обжогшись на молоке, дуешь на воду..
Ссылка в первом посте.
Но еще раз - эта прога помогла найти rootkit, а не троян.
Сам троян у меня еще где-то сидит и я все еще борюсь с желанием вычистить его руками вместо переустановки системы.

Подцепить - зайти на зараженный сайт. При этом желательно, чтобы не было последних апдейтов (Windows, Java... не знаю, что может быть еще).

По поводу отдельного компа - да, наверное. Ну разве что файрвол нужен.

Еще по поводу послать Касперскому. Некоторые файлы из этого барахла ассоциируются с Trojan-Spy.Win32.Webmoner.dm. Может он у Касперского по-другому называется...
san_piter вне форума      

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Троян у хайроллеров CGM.RU Новости, статьи, репортажи.. 0 13.12.2013 09:40
Троян блокирован _Ali_ Техническая поддержка форума 9 29.11.2012 22:21
Троян в SharkScope!!! Evgesha Программное обеспечение 15 05.11.2009 21:08
Как удалить троян? Buracino Поговорим за жизнь 22 25.09.2007 23:37
троян ежык Поговорим за жизнь 12 18.11.2006 15:21


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Выкл.
Pingbacks are Выкл.
Refbacks are Выкл.

Быстрый переход
Правила форумов CGM Контакты Справка Обратная связь CGM.ru Архив Вверх Главная
 
Использование материалов сайта разрешено только при наличии активной ссылки на источник.
Все права на картинки и тексты принадлежат Информационному агентству CGM и их ПАРТНЕРАМ. Политика конфидециальности
CGM.ru на Youtube CGM.ru на Google+ CGM.ru в Twitter CGM.ru на Facebook CGM.ru в vKontakte CGM.ru в Instagram

В сотрудничестве с Pokeroff.ru
Текущее время: 11:44. Часовой пояс GMT +3.
Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2019, vBulletin Solutions, Inc. Перевод: zCarot