В свете последних событий (взломали WebMoney) решил поделиться с форумом нарытой информации.
Актуальная информация для WebMoney Keeper Classic. Другие виды WebMoney ломают, но там не рыл. Поэтому пишу только про Keeper Classic.

Надеюсь, все люди грамотные и файл ключа не держат на жестком диске. Я не держал само собой этот файл ключа на диске, он был на флешке (флешкой не пользовался вообще).

Были выполнены все меры безопасности, которые отображаются в кипере. Думал все хорошо. Я ошибался. Увели WMID. Защита не сработала. Писем активации на почту и СМС на сотовый не приходило. Бац и нет доступа.

Работу вируса wm inside описывает один пользователь:

Источник поста _http://gofuckbiz.com/showpost.php?p=310779&postcount=168

А прикол вот в чем.
На жестком диске компьютера сохраняется файлик .init
Файл скрытый, вид у него такой номер-вмид.init Это временный файл, без него кипер не будет работать.

Достаточно заиметь злоумышленнику этот файл, и он заполучает ваш wmid без проблем. Ему не нужно активацию проводить, не нужна ваша почта, симка мобилы и ваши блокировки по IP.

Дыра WebMoney Keeper Classic видна даже мне, я далек от хакинга, я не специалист, но за два дня я докопался до истины. Почему WebMoney не устраняет этот баг, мне непонятно. За те деньги, что они имеют с 0,8% за перевод, можно было движок с нуля переписать, если не могут устранить. В итоге страдают пользователи, а WebMoney устраняется. Служба безопасности (Арбитраж WebMoney) работает ОТВРАТИТЕЛЬНО. Кто сталкивался, понимает, о чем я и подтвердит мои слова.

Итак, к делу.
Включите отображение скрытых файлов и папок. По умолчанию посмотрите так:
(Windows XP)
C:\Documents and Settings\Имя_пользователя\Application Data\WebMoney\Ваш_WMID.init

(Windows 7/Vista)
C:\Users\Имя_пользователя\AppData\Roaming\WebMoney\Ваш_WMID.init
Если нет, используйте поиск на компьютере, вбейте номер вашего вмид. Ищите с отметкой – искать в скрытых файлах и папках. Где-то должен лежать, если сами до этого не убрали его.

Как лечить?
У вас не должно быть на жестком диске ни файла ключей ваш wmid.kwm, ни временного файла ваш wmid.init
С ваш-wmid.kwm все понятно, его можно убрать на съемный носитель.
А вот с ваш-wmid.init проблема. Если удалить с жесткого диска, кипер ругается. Восстанавливаешь кипер и ваш-wmid.init опять появляется.

Поэтому спасает только Enum.ru
Цитата автора

Полная статья http://wmtpro.ru/security_webmoney.html

Если вы подцепите wm inside или его модификации (не палится антивирусами) и у вас .init лежит на жестком диске, то можете прощаться с деньгами и готовьтесь к геморрою (восстановление вмида, сверхпрелестному общению с Арбитражем).

P.S. думал-думал, где я wm inside хапнул. Вспомнил, что примерно за 3-5 дней до увода кипера, запустил компьютер. Модем отключен был. Смотрю на рабочем столе фирменная картинка флеш плеера появилась. Плеер сообщает, что нужно обновиться и просит обновиться.

Я подумал, нафига он проситься и информирует, если даже инет не включен? Смотрел от куда ноги растут, Каспером поюзал. Не показывает. Может не так смотрел. При выключенном интернете стал на ссылки в этом окне обновления нажимать. Смотрю, ссылки ведут на официальный сайт. Включил интернет. Обновляться не стал, убил процесс. Потом пару раз оно еще в течение нескольких дней появлялось. Я убивал процесс.

Вот в принципе и все подозрения, только это необычное в поведении и работе компьютера было замечено.

Сообщение отредактировал centurion - 13.9.2010, 9:33