[san_piter]

В последний месяц (вроде как) появился троян для WM.
Сделан он, как я понимаю, "на заказ" и антивирусы (Norton 360, NOD32) его не видят. Проходит вроде как через дырки в Java-машине, т.е. регулярного апдейта Windows не достаточно.

Троян выставляет root-kit, который не обнаруживается антивирусным софтом. Реально я смог найти root-kit только при помощи UnHackMe([Зарегистрироваться?], входит в RegRun Platinum).
Проявление трояна (возможно уже после того, как сворует деньги, но скорее всего - одновременно) - при заходе в WM keeper прога пишет, что некоректный пароль, а при попытке инициализации при помощи KWM-файла, троян обнуляет этот файл.

Резюме (те ошибки, которые я допустил):
- Не держите в WM свой банкрол
- Старайтесь заходить в кипер только в рабочие часы, когда вы сможете связаться с WebMoney с просьбой заблокировать акк (ваш и того, куда ушли деньги, если уже ушли)- думаю, что с момента, когда вы не смогли зайти в систему до того момента, когда деньги уже ушли, если реально пара минут.
- Антивирус + Файрвол - недостаточно для спокойствия. Нужен еще и Anti-rootkit, который бы грузился до старта системы (сразу после chkdsk) и мониторил все, что грузится на ваш комп.
- Не думайте, что с вами этого не может произойти.
- Настройте кипер на нескольких машинах, чтобы успеть что-нибудь сделать со своими деньгами с чистой машины.

У меня стащили в районе чуть больше 2к WMZ. Месяц назад там лежало 16к, но по счастливой случайности как раз до этого момента вывел их.

[Bull]

Цитата:

Сообщение от san_piter писал сб, 13 октября 2007 22:03

Троян выставляет root-kit, который не обнаруживается антивирусным софтом. Реально я смог найти root-kit только при помощи UnHackMe([Зарегистрироваться?] входит в RegRun Platinum).
Проявление трояна (возможно уже после того, как сворует деньги, но скорее всего - одновременно) - при заходе в WM keeper прога пишет, что некоректный пароль, а при попытке инициализации при помощи KWM-файла, троян обнуляет этот файл.

Тема очень важная, поэтому хотелось бы уточнить. Это ОБЯЗАТЕЛЬНАЯ процедура для эффективной работы трояна - сообщение о некорректности пароля и инициализация при помощи KWM-файла?

[kozmor]

интересно а как подобрали пароль к файлу ключей? Вообще очень сочуствую топикстартеру, сам реально озабочен безопасностью...

[Alexismoon]

san_piter по ссыле пустая страница - а прогу такую поставить надо бы...

[san_piter]

Цитата:

Сообщение от bull писал сб, 13 октября 2007 22:46

Тема очень важная, поэтому хотелось бы уточнить. Это ОБЯЗАТЕЛЬНАЯ процедура для эффективной работы трояна - сообщение о некорректности пароля и инициализация при помощи KWM-файла?

Насколько я это понимаю, "инициализация" KWM файла трояну нужна только для того, чтобы обунлить его, что сильно усложняет доступ к аккаунту для его владельца.

[san_piter]

Цитата:

Сообщение от Alexismoon писал сб, 13 октября 2007 23:22

san_piter по ссыле пустая страница - а прогу такую поставить надо бы...

Там в URL запитая стояла лишняя. Вообще, эта прога тоже не панацея.
Единственное, что она сделала, что не смогли сделать антивирусы - она нашла rootkit (при перезагрузке компьютера). А вот насчет блокирования его установки - не уверен, что она сильно поможет.
Опять таки, судя по тому, что WM кипер до сих пор ведет себя так же, как после взлома, заразу я так и не убрал... похоже придется переставлять систему :(

[san_piter]

Цитата:

Сообщение от MOR писал сб, 13 октября 2007 22:59

интересно а как подобрали пароль к файлу ключей? Вообще очень сочуствую топикстартеру, сам реально озабочен безопасностью...

Думаю, что пароль не подбирали - я же его сам ввожу при старте кипера.
Т.е. алгоритм, как я понимаю был такой:
- кипер запрашивает пароль, троян его перехватывает
- в открытой пользователем сессии троян подсовывает киперу левый пароль.
Далее параллельно:
- троян стартует сессию с правильным паролем и выводит деньги
- кипер запрашивает KWM файл, а троян перехватывает его и затирает.


Вообще говоря, мне не очень нравится в этом плане страусиная политика самих WebMoney. Судя по сообщениям на их форуме, этот троян активен где-то месяц. Но при этом, даже упоминания в новостях на сайте WebMoney нет.

При том, что в кипере так навернуто с секьюрностью (файлы с ключом, блокировка по IP, число тьюринга при переводе), как-то не думал, что вся эта секьюрность тек легко может пойти лесом.

А всего-то для секьюрности надо было в кипере сделать одну мааааленькую опцию:
Разрешить пользователю ставить лимит на размер транзакций (кроме специально указанных аккаунтов) и блокировать изменение этого лимита (и списка спец. аккаунтов) на сутки.

[kozmor]

как я поинмаю, кипер не будет работать если нет файла ключей, значит троян должен еще и файл ключей скопировать. Затем есть еще отдельный пароль для файла ключей(может у тебя он одинаковый), они и его должны украсть, вот наверное зачем нужна инициализация...Потом еще присылают код инициализации на ящик нужен доступ к мылу...
А вообще реально людей вычислить? Как -то они же вывели деньги? Или завели в покеррум и слили дружбану?... :(

[kozmor]

Цитата:

Сообщение от san_piter писал вс, 14 октября 2007 00:09

Цитата:

А всего-то для секьюрности надо было в кипере сделать одну мааааленькую опцию:
Разрешить пользователю ставить лимит на размер транзакций (кроме специально указанных аккаунтов) и блокировать изменение этого лимита (и списка спец. аккаунтов) на сутки.

Хорошо бы на самом деле так сделали... А в румах убрали бы смену пароля такую простую...

Кстати, может попробывать сделать блокировку по ай-пи? Кто-нибудь делал?

[san_piter]

Цитата:

Сообщение от MOR писал вс, 14 октября 2007 00:17

как я поинмаю, кипер не будет работать если нет файла ключей, значит троян должен еще и файл ключей скопировать. Затем есть еще отдельный пароль для файла ключей(может у тебя он одинаковый), они и его должны украсть, вот наверное зачем нужна инициализация...Потом еще присылают код инициализации на ящик нужен доступ к мылу...

В последних киперах, как я понимаю, файл ключа нужен только для подключения к аккаунту. Если комп уже подключен к аккауну, то ни ключ, ни тем более пароль к нему не нужны.
Собственно до ввода пароля к файлу с ключом дело не доходит - он обнуляется и "кипер" сообщает, что KWM-файл кривой.
Мыло им тоже не нужно - они с моего компа работают с моим аккаунтом.

Цитата:

Сообщение от MOR писал вс, 14 октября 2007 00:17

А вообще реально людей вычислить? Как -то они же вывели деньги? Или завели в покеррум и слили дружбану?... :(

Мои деньши ушли в E-Gold. Думаю, что цепочка достаточно длинная.
Будь я вором, я бы, конечно, подчистил бы хвосты через покеррум. Как было конкретно в моем случае - не знаю. Думаю, что уже и не узнаю.

[san_piter]

Цитата:

Сообщение от MOR писал вс, 14 октября 2007 00:22

Кстати, может попробывать сделать блокировку по ай-пи? Кто-нибудь делал?

Блокирову по IP в WM? Я делал. Абсолютно безполезно.

[kozmor]

понятно :( , надо узнать про блокировку по айпи...

[kozmor]

Цитата:

Сообщение от MOR писал вс, 14 октября 2007 00:27

понятно :( , надо узнать про блокировку по айпи...

точно, они же с твоего компа и работают.... :(

[kozmor]

Еще одной вещи не допонял, как подцепил троян? Это надо же что-то у себя сохранить и запустить это? или нет?

[san_piter]

Цитата:

Сообщение от MOR писал вс, 14 октября 2007 00:31

Еще одной вещи не допонял, как подцепил троян? Это надо же что-то у себя сохранить и запустить это? или нет?

Надо зайти на сайт, где он сидит.

[X-Mage]

san_piter, ты не пробовал отсылать этот троян в какую-нибудь антивирусную компанию? К Касперу, например? Они оперативно работают.

[san_piter]

Цитата:

Сообщение от X-Mage писал вс, 14 октября 2007 01:20

san_piter, ты не пробовал отсылать этот троян в какую-нибудь антивирусную компанию? К Касперу, например? Они оперативно работают.

У меня "исходника" не осталось.
К тому же, имхо, это бессмыслено - это ведь не вирус в чистом смысле.
Ну будет заплатка в Касперском, воры немного смодифицируют код.
Я сам в свое время на крупную антивирусную контору работал, знаю всю эту кухню изнутри.

[salova]

можно ссылку на прогу через которую можно обнаружить этот троян?.. и ещё просьба обьяснить как этот троян можно подцепить?
месяц назад я попал на 4К из схожей проги.. теперь купил второй копм.. на 1 чисто стоят покерные румы..ни на какие сайты не на захожу.. могу ли я быть уверен что никакого трояна не подхвачу.. если на кроме румов запускать ничего не буду..
обжогшись на молоке, дуешь на воду..

[cassolete]

Я редко работаю с WM, но тема очень существенная. Спасибо постеру, ставлю рейтинг.

[san_piter]

Цитата:

Сообщение от salova писал вс, 14 октября 2007 03:28

можно ссылку на прогу через которую можно обнаружить этот троян?.. и ещё просьба обьяснить как этот троян можно подцепить?
месяц назад я попал на 4К из схожей проги.. теперь купил второй копм.. на 1 чисто стоят покерные румы..ни на какие сайты не на захожу.. могу ли я быть уверен что никакого трояна не подхвачу.. если на кроме румов запускать ничего не буду..
обжогшись на молоке, дуешь на воду..

Ссылка в первом посте.
Но еще раз - эта прога помогла найти rootkit, а не троян.
Сам троян у меня еще где-то сидит и я все еще борюсь с желанием вычистить его руками вместо переустановки системы.

Подцепить - зайти на зараженный сайт. При этом желательно, чтобы не было последних апдейтов (Windows, Java... не знаю, что может быть еще).

По поводу отдельного компа - да, наверное. Ну разве что файрвол нужен.

Еще по поводу послать Касперскому. Некоторые файлы из этого барахла ассоциируются с Trojan-Spy.Win32.Webmoner.dm. Может он у Касперского по-другому называется...