Дыра в WebMoney. Чтобы не взломали WebMoney!

Дыра в WebMoney. Чтобы не взломали WebMoney!, проверяйте ваш WebMoney

Опции

centurion

Topic Starter

13.9.2010, 9:31; Ответить: centurion

Сообщение #161

Топовый постер

Группа: Active User
Сообщений: 2831
Регистрация: 10.12.2007
Из: aceweb
Поблагодарили: 1349 раз
Репутация:

308

В свете последних событий (взломали WebMoney) решил поделиться с форумом нарытой информации.
Актуальная информация для WebMoney Keeper Classic. Другие виды WebMoney ломают, но там не рыл. Поэтому пишу только про Keeper Classic.

Надеюсь, все люди грамотные и файл ключа не держат на жестком диске. Я не держал само собой этот файл ключа на диске, он был на флешке (флешкой не пользовался вообще).

Были выполнены все меры безопасности, которые отображаются в кипере. Думал все хорошо. Я ошибался. Увели WMID. Защита не сработала. Писем активации на почту и СМС на сотовый не приходило. Бац и нет доступа.

Работу вируса wm inside описывает один пользователь:

... Маула обработали не без известным вм троем wm inside, в комментах блога маула автор троя отписывался по этому поводу Новая версия этого троя ацкая вещь, но трой бы не имел своей силы если бы не юзал баг самой системы вебмани, а этот баг не исправить. Потому что на этом баге и основан движок вм, вот собственно что я знаю по этому вопросу

Источник поста _http://gofuckbiz.com/showpost.php?p=310779&postcount=168

А прикол вот в чем.
На жестком диске компьютера сохраняется файлик .init
Файл скрытый, вид у него такой номер-вмид.init Это временный файл, без него кипер не будет работать.

Достаточно заиметь злоумышленнику этот файл, и он заполучает ваш wmid без проблем. Ему не нужно активацию проводить, не нужна ваша почта, симка мобилы и ваши блокировки по IP.

Дыра WebMoney Keeper Classic видна даже мне, я далек от хакинга, я не специалист, но за два дня я докопался до истины. Почему WebMoney не устраняет этот баг, мне непонятно. За те деньги, что они имеют с 0,8% за перевод, можно было движок с нуля переписать, если не могут устранить. В итоге страдают пользователи, а WebMoney устраняется. Служба безопасности (Арбитраж WebMoney) работает ОТВРАТИТЕЛЬНО. Кто сталкивался, понимает, о чем я и подтвердит мои слова.

Итак, к делу.
Включите отображение скрытых файлов и папок. По умолчанию посмотрите так:
(Windows XP)
C:\Documents and Settings\Имя_пользователя\Application Data\WebMoney\Ваш_WMID.init

(Windows 7/Vista)
C:\Users\Имя_пользователя\AppData\Roaming\WebMoney\Ваш_WMID.init
Если нет, используйте поиск на компьютере, вбейте номер вашего вмид. Ищите с отметкой – искать в скрытых файлах и папках. Где-то должен лежать, если сами до этого не убрали его.

Как лечить?
У вас не должно быть на жестком диске ни файла ключей ваш wmid.kwm, ни временного файла ваш wmid.init
С ваш-wmid.kwm все понятно, его можно убрать на съемный носитель.
А вот с ваш-wmid.init проблема. Если удалить с жесткого диска, кипер ругается. Восстанавливаешь кипер и ваш-wmid.init опять появляется.

Поэтому спасает только Enum.ru
Цитата автора

… срочно регистрируемся в Енуме, получаем ссылку для скачивания приложения на телефон и код активации для него, потом, обязательно на чистом компьютере, генерируем в кипере новые ключи и сразу отправляем их из кипера на хранение в Enum-Storage, после отправки файл ключей *.kwm у вас на компе удалится автоматически, а вам нужно ОБЯЗАТЕЛЬНО нажать ПУСК -> НАЙТИ -> Файлы и папки, написать в открывшемся окне *.init и нажать кнопку ПОИСК, предварительно поставив галочку "Включая скрытые и системные файлы".
По умолчанию файл на вашем компьютере находится тут:
C:\Documents and Settings\Имя_пользователя\Application Data\WebMoney\Ваш_WMID.init (Windows XP)
C:\Users\Имя_пользователя\AppData\Roaming\WebMoney\Ваш_WMID.init (Windows 7/Vista)
Далее уже дело техники - находите этот файл и удаляете его сами.
Теперь никогда больше на вашей машине не появится никакого файла ключей для вашего WMID, потому что заходить в кипер теперь вы будете только через тип входа "Enum-Storage", используя приложение на телефоне, а храниться ключи ваши будут только там.

Полная статья http://wmtpro.ru/security_webmoney.html

Если вы подцепите wm inside или его модификации (не палится антивирусами) и у вас .init лежит на жестком диске, то можете прощаться с деньгами и готовьтесь к геморрою (восстановление вмида, сверхпрелестному общению с Арбитражем).

P.S. думал-думал, где я wm inside хапнул. Вспомнил, что примерно за 3-5 дней до увода кипера, запустил компьютер. Модем отключен был. Смотрю на рабочем столе фирменная картинка флеш плеера появилась. Плеер сообщает, что нужно обновиться и просит обновиться.

Я подумал, нафига он проситься и информирует, если даже инет не включен? Смотрел от куда ноги растут, Каспером поюзал. Не показывает. Может не так смотрел. При выключенном интернете стал на ссылки в этом окне обновления нажимать. Смотрю, ссылки ведут на официальный сайт. Включил интернет. Обновляться не стал, убил процесс. Потом пару раз оно еще в течение нескольких дней появлялось. Я убивал процесс.

Вот в принципе и все подозрения, только это необычное в поведении и работе компьютера было замечено.

Сообщение отредактировал centurion - 13.9.2010, 9:33

Поблагодарили: (94)

-xXx-, 0pium, 4ester7, AHTOXA, allsab, ARsHi, Axel, B-ReD, Babitch, Bacifer, Belos, Bra1n, Bzhik-got, c0wb0y, casp, Collega, CoolHeart, CracK, dante01, dim-dim, Dim0n2007, Diman, dimonsuper, DIMSAN, E-body, ems827, esys, Evgenich, Evgenii, fichik, Fortunato, Frankie, freezed93, Furin, GC_, Gera, gerbor, Gert, Gregory, Hallboy222, iDnx, illari, install, JackBlack, Jack_Daniels, JessePinkman, kiruxa36, knaipa, Kolbaskin, Kostap13, kulbit, laursen, Loginp, MarkII, MorKer, MrL, mtprofit, n1tr1k, nash, Navyera, nikitabaks, NozNet, omega, opariks, Pab, Padel, Polunochnica, Rabineta, Radioactive, raferti, rokot, Rombi, Schmied, schumakow, Scotty, seoded, seomasterr, seregavip, SergeiVL, shansick, Solonik, south_park, Staurus, TNT, toribloger, urpok, vasyatko, Vibos, WETLER, White_Lad, x997, xag197911, Евгешко, Серега

52

Ответить с цитированием данного сообщения

Scotty Scotty 25.1.2011, 2:18; Сообщений: 1343 Поблагодарили: 352 раза Репутация: 86 Просмотр профиля	25.1.2011, 2:18; Ответить: Scotty Сообщение #162
Старожил Группа: Active User Сообщений: 1343 Регистрация: 17.4.2008 Из: Украина Поблагодарили: 352 раза Репутация: 86	(gemkeepers @ 25.1.2011, 0:10) именно о том самом. как уже говорили, даже на завирусенном компьютере от одной винды, как уже говорили общего пользования, входите в другую, и там уже не будут запускаться регистры и автозагрузки, записанные на основную винду. Даже в этом случае вы будете иметь защищенность, но с виртуальным замучаетесь. Если вы хотите хранить большие деньги на вебмани, логично предположить что вы не держите их в обороте. Создаем второго пользователя на защищенной машине, сохраняем пароль и не открываем его. а для динамичного пользования делаем второго пользователя. Если вы только получаете деньги, то пересылаете с динамичного пользователя на статичный, как в банк. Или вы хотите именно что-то дорогое и закрученное? Уважаемый, запароленый второй юзер ломается куда проще, чем виртуальный диск. Не несите чуши. У двух запароленых юзеров на машине всегда есть общие пути преткновения. (Тот же диск С) У виртуальной машины и основной оси такие хвосты можно убрать. -------------------- Самый стабильный хостинг Украины, от $4

gemkeepers gemkeepers 25.1.2011, 2:23; Сообщений: 1235 Поблагодарили: 117 раз Репутация: 26 Просмотр профиля	25.1.2011, 2:23; Ответить: gemkeepers Сообщение #163
Старожил Группа: Active User Сообщений: 1235 Регистрация: 7.4.2009 Поблагодарили: 117 раз Репутация: 26	(Scotty @ 25.1.2011, 1:18) Уважаемый, запароленый второй юзер ломается куда проще, чем виртуальный диск. Не несите чуши. У двух запароленых юзеров на машине всегда есть общие пути преткновения. (Тот же диск С) У виртуальной машины и основной оси такие хвосты можно убрать. Чем меньше времени вы в нем, тем меньше риска, что его уведут. У меня второй виндовс чистый, с защитой, там второй пользователь. Пароли могут украсть тогда, когда я их использую, верно? Чем меньше времени они в памяти компа, тем менше шанс грабителю их поймать. Я вхожу в него 1 раз в 5-7 месяцев на 30 секунд с винды, которая всегда выключена т.к. не пользуюсь. Чем плохо то? Как его взломают? Взломать можно все но во врмя его использования и это очень высокая степень защиты. Более того вообще вебмани от второго юзера на диске Г (когда диска д нету, я запускаю пару виртуальных дисков, вставляю флашку и загружаю вебмани, но это уже моя паранойа я думаю она эффекта не делает) Дело совсем не в преткновенях, а в уже запущенных регистрах и программах и процессах, где сидит троян З.ы. его надо успеть скачать, чтобы он появился а такие вещи с виндовса на виндовс не перепрыгивают, а на виртуалку легко из-за смежных процессов. Виртуалка - это паразит, живущий за ресурсы винды и такие ещи как драйвера, и модули идут с реального виндовса и имеют доступ, а значит дыр найти можно Сообщение отредактировал gemkeepers - 25.1.2011, 2:36

Scotty Scotty 25.1.2011, 2:50; Сообщений: 1343 Поблагодарили: 352 раза Репутация: 86 Просмотр профиля	25.1.2011, 2:50; Ответить: Scotty Сообщение #164
Старожил Группа: Active User Сообщений: 1343 Регистрация: 17.4.2008 Из: Украина Поблагодарили: 352 раза Репутация: 86	Матёро Вы переводите тему, я очень рад Вашей мощной защите, но.. Начинали мы с защиты виртуальной машины. Очень много мифов в Ваших словах. К примеру - на счёт вирусов - маловато, Вы, батенька, с ними встречались, знаете ли. Почитайте описания к таким вещам, как Kido и Sality. WM не видел, что бы ломали во время работы, скорее наоборот Эм.. И ещё.. Какие это смежные процессы существуют между виртуалью и основной осью? Пример в студию -------------------- Самый стабильный хостинг Украины, от $4

gemkeepers gemkeepers 25.1.2011, 2:54; Сообщений: 1235 Поблагодарили: 117 раз Репутация: 26 Просмотр профиля	25.1.2011, 2:54; Ответить: gemkeepers Сообщение #165
Старожил Группа: Active User Сообщений: 1235 Регистрация: 7.4.2009 Поблагодарили: 117 раз Репутация: 26	(Scotty @ 25.1.2011, 1:50) Матёро Вы переводите тему, я очень рад Вашей мощной защите, но.. Начинали мы с защиты виртуальной машины. Очень много мифов в Ваших словах. К примеру - на счёт вирусов - маловато, Вы, батенька, с ними встречались, знаете ли. Почитайте описания к таким вещам, как Kido и Sality. WM не видел, что бы ломали во время работы, скорее наоборот Эм.. И ещё.. Какие это смежные процессы существуют между виртуалью и основной осью? Пример в студию Как они не могут быть смежными, если буфер обмена, основные драйвера одинаковые? У меня вирус перекинулся на виртуалку. Если вы хотите больше подробностей, то я не эксперт пусть объясняют профессионалы. А с вирусами я знаком, т.к. программист С++ и знаю, что говорю и делал некоторые вещи в целях интереса на своем же компьютере правда не с виртуалкой а просто так, но всё же я имею представление что это такое и как работает. Если у вас есть права управления виртуалкой, находясь в виндовсе, то значит и вирусу это доступно. Нету доступа - нет проблемы. доступ есть -вирус это использует. Ведь вирусы часто заходят под притворством одного или другого девайса\операции, чтобы его впустили. При открытым зараженным основным виндовсом вы рискуете, т.к. его процессы открыты. Сообщение отредактировал gemkeepers - 25.1.2011, 3:01 Поблагодарили: (1) Scotty

Scotty Scotty 25.1.2011, 3:07; Сообщений: 1343 Поблагодарили: 352 раза Репутация: 86 Просмотр профиля	25.1.2011, 3:07; Ответить: Scotty Сообщение #166
Старожил Группа: Active User Сообщений: 1343 Регистрация: 17.4.2008 Из: Украина Поблагодарили: 352 раза Репутация: 86	Может Вы их и пишите? Вы всё таки почитайте описание. Вас удивит, как сменился характер поведения и насколько расширилась свобода действия для вредоносного ПО Буфер - это 5, я не подумал. Насчёт драйверов - парочка нюансов: Если действительно они подгружаются из основной ОСИ (Остаётся открытым вопрос, зачем на гостевую ОС ставить их, если они якобы видятся в основной ОСи) - было бы более благоразумно использовать 2 одновременно запущенные ОС, т.е. ос в ос, поставив предварительно 2 антивирусных ПО. Куда безопаснее, когда сумежные процессы контролируются двумя конкурирующими разработчиками, не правда ли? ЗЫ: Посты не редактируйте больше, а то потом не удобно отвечать Деловое предложение: Вы прочитайте сначала описание вышеуказанных вредоносных продуктов, и потом продолжим дисскуссию, действительно ли так безопасно держать кипер в отдельной винде, нежели в виртуалке -------------------- Самый стабильный хостинг Украины, от $4

gemkeepers gemkeepers 25.1.2011, 3:13; Сообщений: 1235 Поблагодарили: 117 раз Репутация: 26 Просмотр профиля	25.1.2011, 3:13; Ответить: gemkeepers Сообщение #167
Старожил Группа: Active User Сообщений: 1235 Регистрация: 7.4.2009 Поблагодарили: 117 раз Репутация: 26	Да дело ваше. В вирусе умею снимать параметры полей, такие как паролевые, к примеру со звездочек превратятся в пароль, а могут не превратиться а просто конвертнуться и выслаться в нужное место диска жертвы, с помощью ПО каждую программу можно разделить на элементы и рулить в них.А чтобы на них выйти поставить автопоиск её запущенности(открыта ли она) по ключевым словам, которые пишутся в окне запуска внизу (других методов не умею). Нюанс в том, что вирус должен быть заточен под виртуалку. А как бы вы не крутили, виртуальный винд работает через оригинал, он является слейвом и самостоятельно ему не выжить. Согласен что там защищеннее.. но и утерять информацию легче, тоже. не советую хранить ничего ценного на нем. Мне кажется мой вариант легче, а судить вам. Сорри редактировал. Сообщение отредактировал gemkeepers - 25.1.2011, 3:15

Intersect Intersect 25.1.2011, 11:12; Сообщений: 1231 Поблагодарили: 198 раз Репутация: 54 Просмотр профиля	25.1.2011, 11:12; Ответить: Intersect Сообщение #168
Bartowski Группа: Active User Сообщений: 1231 Регистрация: 24.1.2011 Поблагодарили: 198 раз Репутация: 54	хм..интересно.. -------------------- Статейное продвижение ваших сайтов по качественной базе с ИКС заказать на Kwork

MaD MaD 28.1.2011, 20:25; Сообщений: 134 Поблагодарили: 14 раз Репутация: 7 Просмотр профиля	28.1.2011, 20:25; Ответить: MaD Сообщение #169
Участник Группа: Banned Сообщений: 134 Регистрация: 13.4.2010 Из: Москва-Фергана Поблагодарили: 14 раз Репутация: 7	Спс, теперь я хорошо защищён

mtprofit mtprofit 29.1.2011, 6:23; Сообщений: 44 Поблагодарили: 1 раз Репутация: 0 Просмотр профиля	29.1.2011, 6:23; Ответить: mtprofit Сообщение #170
Новичок Группа: User Сообщений: 44 Регистрация: 20.1.2011 Поблагодарили: 1 раз Репутация: 0	Спасибо огромное. Полезная информация.

vlasy vlasy 3.2.2011, 12:09; Сообщений: 21 Поблагодарили: 2 раза Репутация: 0 Просмотр профиля	3.2.2011, 12:09; Ответить: vlasy Сообщение #171
Новичок Группа: User Сообщений: 21 Регистрация: 17.12.2010 Поблагодарили: 2 раза Репутация: 0	коварная вещь. создатель данного трояна в самые короткие сроки был пойман. но к сожалению, билд этой штуки до сих пор переписывается, выходят новые поправленные версии

« Предыдущая тема · Электронная валюта · Следующая тема »

2 чел. читают эту тему (гостей: 2, скрытых пользователей: 0)

Пользователей: 0

Похожие темы

Тема	Ответов	Автор	Просмотров	Последний ответ
Webmoney WMZ дешевле USD ~ на 15%, но Webmoney WMT=USD	20	freeax	2063	Сегодня, 21:26 автор: freeax
Нужен кодер, чтобы пофиксить ошибку Wordpress после переноса сайта	0	Alex-777	922	7.4.2024, 18:05 автор: Alex-777
Apple пойдет на сотрудничество с конкурентами, чтобы выбиться в лидеры с ИИ	4	Room	1229	31.3.2024, 1:15 автор: Liudmila
Продаю Webmoney WMZ за ZEN, UAH, Skrill, Neteller USDT, Payeer, Advcash, PerfectMoney	4	freeax	1708	30.3.2024, 4:30 автор: freeax
Как составить уравнение, чтобы назначить цену для товара?	2	rownong27	761	21.3.2024, 12:53 автор: Lumex