57 ответов в данной теме

[Deacon (WMID 326723250670 )]

Почитал я ответы в этой теме и вот что думаю:

Во-первых KIS2010 реагирует на подобный троян начиная с конца прошлого года, начала этого. Щас апрель - касперский не среагировал даже со включенной проактивной защитой.

Во-вторых, насколько я знаю, т.н. WM-stealer не умеет проникнуть на машину. Он должен использовать "сторонние" способы проникновения, типа Trojan-Downloader, бэкдоров. В этом случае антивирусник должен и на  него ругаться, а еще даунлоудер не уничтожает сам себя в отличие от стилера, из чего можно сделать вывод, что должны оставаться следы в системе, которые можно найти при последующих проверках антивирусным ПО.

В третьих, пользователи WM по идее не должны разбираться в тонкостях защиты от несанкционированного доступа, а выполнять более-менее базовые требования безопасности. Но когда крадут деньги с кошельков Power Users с более-менее защищенных компов антивирусниками и брандмауэрами, то само собой напрашивается вывод, что защита клиентского ПО у WMTни к черту не годится. Но винят то они нас во всех бедах, а не себя...

В четвертых - эта дурацкая бюрократическая система по восстановлению контроля. Она удобна только одним - у похитителей есть куча времени на вывод своих средств.

В пятых - почему не работает отдел СБ у них? Видимо совсем отсутствует. А в нашей стране ответ системы "обратитесь в ОВД" можно расценивать как "идите нафиг".

[Deacon (WMID 326723250670 )]

И еще, вот статья из "Хакера". Почитайте - очень интересно, особенно ответы Криса Касперски.

http://www.xakep.ru/...s/061/018/1.asp

[Александрович (WMID 122973553718 )]

Почитал я ответы в этой теме и вот что думаю:

Во-первых KIS2010 реагирует на подобный троян начиная с конца прошлого года, начала этого. Щас апрель - касперский не среагировал даже со включенной проактивной защитой.

Во-вторых, насколько я знаю, т.н. WM-stealer не умеет проникнуть на машину. Он должен использовать "сторонние" способы проникновения, типа Trojan-Downloader, бэкдоров. В этом случае антивирусник должен и на  него ругаться, а еще даунлоудер не уничтожает сам себя в отличие от стилера, из чего можно сделать вывод, что должны оставаться следы в системе, которые можно найти при последующих проверках антивирусным ПО.

В третьих, пользователи WM по идее не должны разбираться в тонкостях защиты от несанкционированного доступа, а выполнять более-менее базовые требования безопасности. Но когда крадут деньги с кошельков Power Users с более-менее защищенных компов антивирусниками и брандмауэрами, то само собой напрашивается вывод, что защита клиентского ПО у WMTни к черту не годится. Но винят то они нас во всех бедах, а не себя...

В четвертых - эта дурацкая бюрократическая система по восстановлению контроля. Она удобна только одним - у похитителей есть куча времени на вывод своих средств.

В пятых - почему не работает отдел СБ у них? Видимо совсем отсутствует. А в нашей стране ответ системы "обратитесь в ОВД" можно расценивать как "идите нафиг".

Согласен с каждым Вашим словом не считая тонкостей во взламовании кипера, так как в этом ничего не смыслю )
И насчет ОВД точно подметили

[kapter (WMID 834801180548 )]

Кстати, меня обворовали после установки последней версии WMKS. Никогда не вёлся на разводы приумножить свой заработок, манипулируя своими кошельками. Как я описывал выше, работа с WM в течении 1.5 лет велась в штатном режиме – получил перевод, оплатил за интернет, мобильный телефон и не более того.
Безопасности компьютера всегда уделял огромное внимание. Только лицензионный софт с последними обновлениями. Только внимательное отношение к приглашениям на любых сайтах с предложением установить чего-то. Не переходил по сомнительным ссылкам в емейле. Детально разбирал каждое предупреждение антивируса.
Каков итог? Обворовали.
Конечно, я виновен в том, что не могу распознавать вирусы быстрее обновлений антивирусных программ. Не изучаю основы хакерства. Не знаю реестр Windows от А до Я.

[Deacon (WMID 326723250670 )]

Кстати, меня обворовали после установки последней версии WMKS. Никогда не вёлся на разводы приумножить свой заработок, манипулируя своими кошельками. Как я описывал выше, работа с WM в течении 1.5 лет велась в штатном режиме – получил перевод, оплатил за интернет, мобильный телефон и не более того.
Безопасности компьютера всегда уделял огромное внимание. Только лицензионный софт с последними обновлениями. Только внимательное отношение к приглашениям на любых сайтах с предложением установить чего-то. Не переходил по сомнительным ссылкам в емейле. Детально разбирал каждое предупреждение антивируса.
Каков итог? Обворовали.
Конечно, я виновен в том, что не могу распознавать вирусы быстрее обновлений антивирусных программ. Не изучаю основы хакерства. Не знаю реестр Windows от А до Я.

Могу сказать абсолютно тоже самое. Уделял большое внимание безопасности. Винды и АВ лицензия.

И опять, что характерно тоже обворовали после установки 3.9.1.0 версии кипера. И в день прихода денег, ни раньше, ни позже.

[Plastik (WMID 262649518228 )]

Могу сказать абсолютно тоже самое. Уделял большое внимание безопасности. Винды и АВ лицензия.
И опять, что характерно тоже обворовали после установки 3.9.1.0 версии кипера. И в день прихода денег, ни раньше, ни позже.

Могу сказать одно. На известных и не вызывающих подозрение порталах временно появляются скрипты, загружающие трой на компьютер гостя (файл, размером более 500 кБ).
Потом так же быстро эти скрипты исчезают. Таких я ловил и при повторном посещении этих страниц, скриптов там уже не было. При чём факт закачки файла известными антивирусами не отлавливается.
P.S. Это поверхностно...

[kapter (WMID 834801180548 )]

Вот, что я обнаружил после кражи денег с вебкошелька проверкой KIS2010 - Trojan-Downloader.Java.Agent.ao

Путь: C:\Documents and Settings\ имя пользователя\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\3
ОС: Windows Vista SP2.

http://www.securelis...02bff2829f9c311

[Deacon (WMID 326723250670 )]

Plastik, а как ты (или Вы, как удобней) их ловил и обнаруживал?

К тому же скрипты не могут незаметно загружать файлы. Правда это выполняется только в том случае, если нет дыр в броузере. Если регулярно ставить заплатки, то вероятность проникновения сводится к минимуму. И еще, файл мало загрузить, его еще надо запустить, на что АВ должен хоть немного среагировать.

ПыСы. Наличие возможности кражи информации с помощью трояна не оправдание для WMT, а скорее наоборот.

[Deacon (WMID 326723250670 )]

Вот, что я обнаружил после кражи денег с вебкошелька проверкой KIS2010 - Trojan-Downloader.Java.Agent.ao

Путь: C:\Documents and Settings\ имя пользователя\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\3
ОС: Windows Vista SP2.

[url=http://www.securelist.com/ru/search?VN=Trojan-Downloader.Java.Agent.ao&sha1=ff05a6a78999cb0a497ced9af02bff2829f9c311

http://www.securelist.com/ru/search?VN=Trojan-Downloader.Java.Agent.ao&sha1=ff05a6a78999cb0a497ced9af02bff2829f9c311 [/QUOTE[/url]]

Наличие файла еще не говорит о том, что он активен

[MaximiG (WMID 802219546336 )]

Почитал я ответы в этой теме и вот что думаю:
Во-первых KIS2010 реагирует на подобный троян начиная с конца прошлого года, начала этого. Щас апрель - касперский не среагировал даже со включенной проактивной защитой.

Что то упустил чуть чуть смысл, на какой троян реагиреут каспер? Вот лично я напишу троянчика который закину на ваш комп и он без вашего ведома переведет деньги на другой кошелек и каспер его не спалит... троянов куча и не каждый уже сидит в базе каспера так что каспер спокойно его может не узнать

Во-вторых, насколько я знаю, т.н. WM-stealer не умеет проникнуть на машину. Он должен использовать "сторонние" способы проникновения, типа Trojan-Downloader, бэкдоров. В этом случае антивирусник должен и на него ругаться, а еще даунлоудер не уничтожает сам себя в отличие от стилера, из чего можно сделать вывод, что должны оставаться следы в системе, которые можно найти при последующих проверках антивирусным ПО.

Они все умеют... дописать из начального трояна более умного и с более лучшей работой хорошему прогеру проблем не стоит

В третьих, пользователи WM по идее не должны разбираться в тонкостях защиты от несанкционированного доступа, а выполнять более-менее базовые требования безопасности. Но когда крадут деньги с кошельков Power Users с более-менее защищенных компов антивирусниками и брандмауэрами, то само собой напрашивается вывод, что защита клиентского ПО у WMTни к черту не годится. Но винят то они нас во всех бедах, а не себя...

Есть понятие "обычный пользователь" а есть понятие "админ" чувствуете разницу? В своем компе снимите с себя все админские полномочия и будьте обычным пользователем т.е. кроме как серфить и печатать в ворде что бы ни чего не могли делать и думаю трояну будет уже сложнее работать у вас на компе. А коли Вы на своем компе себе админские права дали, то будьте добры и следите за его безопастностью как администратор а не как обычный пользователь и не надо на WMT НАЕЗЖАТЬ ЧТО ОНИ ВСЮ ВИНУ НА ВАС СВАЛИВАЮТ...

В четвертых - эта дурацкая бюрократическая система по восстановлению контроля. Она удобна только одним - у похитителей есть куча времени на вывод своих средств.

Это регламент и все тут! похитителям хватит двух минут что бы увести Ваши деньги... и что теперьбудем за две минуты контроль востанавливать? Я приду к Вам домой, пока вы за пивом в магаз уйдете, я напишу в арбитраж что забыл пароль и они через две минутки тут же новый пришлют и я вас ограблю....

В пятых - почему не работает отдел СБ у них? Видимо совсем отсутствует. А в нашей стране ответ системы "обратитесь в ОВД" можно расценивать как "идите нафиг".

СБ - есть арбитраж, ВЫ придете в банк и у вас карманник вытащит кошелек, кто этим разбираться будет? подсказка: пожарник, продавец, СБ или милиция? Как думаете? Или ВЫ в СД пойдете заявление писать?
Вам какой ответ системы нужен? типа "сходите молока купить или пива, коли вас гробанули" или "наймите киллера"? Вам дают верное направление действий... дальше ваш выбор


ИМХО

[Plastik (WMID 262649518228 )]

Plastik, а как ты (или Вы, как удобней) их ловил и обнаруживал?

Незаметно для браузера загружались файлы через java-скрипты, но используя саму программу javaw.exe
Отлавливать попытки DDE и OLE взаимодействия, внедрения в память процесса, загрузку драйверов, перехват нажатий клавиш, запуск неизвестных файлов позволяют отлавливать многие антивирусные программы.
Полезно так же контролировать ветки реестра, отвечающие за автозагрузку файлов.

[kapter (WMID 834801180548 )]

Полезно так же контролировать ветки реестра, отвечающие за автозагрузку файлов.

Полезная программка 2IP StartGuard. Следит за реестром Windows и как только что-то или кто-то изъявит желание прописать себя в автозагрузку, она сработает и предупредит вас об этом.
http://2ip.ru/soft/startguard/
Кстати, почти панацея от порнобаннеров, которые как известно тайно прописывают себя в автозагрузку.

[Plastik (WMID 262649518228 )]

Полезно так же контролировать ветки реестра, отвечающие за автозагрузку файлов.

Полезная программка 2IP StartGuard. Следит за реестром Windows и как только что-то или кто-то изъявит желание прописать себя в автозагрузку, она сработает и предупредит вас об этом.
http://******/soft/startguard/
Кстати, почти панацея от порнобаннеров, которые как известно тайно прописывают себя в автозагрузку.

Вы знаете где исходники скачать можно ?

[kapter (WMID 834801180548 )]

Вы знаете где исходники скачать можно ?

Не понял Вашу реплику. Если Вам нужен первоисточник этой утилиты, то сайт разработчиков - http://2ip.ru

[kapter (WMID 834801180548 )]

Запустив ещё раз KIS2010 в режиме поиска уязвимостей в системе и сторонних программах - обнаружил прелюбопытнейшую вещь.
Как я писал выше, после кражи денег по адресу C:\Documents and Settings\ имя пользователя\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\3, Касперский обнаружил троян Trojan-Downloader.Java.Agent.ao, явно работающий под платформой Java.
Так вот, KIS мне указал на уязвимость именно в Java, которую я не обновлял (о, ужас) целый год.

[Deacon (WMID 326723250670 )]

Что то упустил чуть чуть смысл, на какой троян реагиреут каспер? Вот лично я напишу троянчика который закину на ваш комп и он без вашего ведома переведет деньги на другой кошелек и каспер его не спалит... троянов куча и не каждый уже сидит в базе каспера так что каспер спокойно его может не узнать

Есть же еще проактивная защита, которая реагирует на "характерное поведение". К тому же похожие вирусы имеют похожие участки кода.

Они все умеют... дописать из начального трояна более умного и с более лучшей работой хорошему прогеру проблем не стоит

Согласен, но дело не в этом.

Есть понятие "обычный пользователь" а есть понятие "админ" чувствуете разницу? В своем компе снимите с себя все админские полномочия и будьте обычным пользователем т.е. кроме как серфить и печатать в ворде что бы ни чего не могли делать и думаю трояну будет уже сложнее работать у вас на компе. А коли Вы на своем компе себе админские права дали, то будьте добры и следите за его безопастностью как администратор а не как обычный пользователь и не надо на WMT НАЕЗЖАТЬ ЧТО ОНИ ВСЮ ВИНУ НА ВАС СВАЛИВАЮТ...

Здесь я имел ввиду не превилегии в компьютере, а навыки работы с ним. Т.е. попадаются не полные чайники.

А на WMT я не наезжаю, а просто констатирую факт.

Это регламент и все тут! похитителям хватит двух минут что бы увести Ваши деньги... и что теперьбудем за две минуты контроль востанавливать? Я приду к Вам домой, пока вы за пивом в магаз уйдете, я напишу в арбитраж что забыл пароль и они через две минутки тут же новый пришлют и я вас ограблю....

А 20 дней видимо решили сделать для северных селений оленеводов, которым идти за пивом приходится пешком за несколько сотен километров.

СБ - есть арбитраж, ВЫ придете в банк и у вас карманник вытащит кошелек, кто этим разбираться будет? подсказка: пожарник, продавец, СБ или милиция? Как думаете? Или ВЫ в СД пойдете заявление писать?
Вам какой ответ системы нужен? типа "сходите молока купить или пива, коли вас гробанули" или "наймите киллера"? Вам дают верное направление действий... дальше ваш выбор

СБ арбитраж? Ну а я тогда китайский император. Но суть в другом...

Ваше сравнение не совсем корректное. Если у меня в каком-либо банке украдут мою собственность типа кошелька, то это мои проблемы. А вот если у меня уведут деньги с пластиковой карты, принадлежащей банку, то весь разговор у меня будет именно с банком. Я в первую очередь доказываю, что не я совершил транзакцию, и уже банк разбирается, куда и как ушли деньги.

[Deacon (WMID 326723250670 )]

У меня поиск уязвимостей ничего критичного не дал.

Вот к примеру о краже денег с пластиковых карт статеечка:

http://www.allcredits.ru/1/12888/

[kapter (WMID 834801180548 )]

Гипотетически деньги вернуть можно.
Обращаемся в управление «К» МВД РФ по факту кражи денег с электронных кошельков.
Описываем свою проблему вплоть до мелочей. Мол, такого-то числа, в такое-то время с моего WMID были списаны денежные средства туда-то. Я в данный момент находился (не находился) в сети.

При проверке журнала подключений моего WMID к серверам сертификации системы выяснилось следующее. С адреса подсети моего провайдера было несанкционированное подключение с такого-то IP, в такое-то время, такой-то продолжительностью.

Что должно быть в идеале?
Управление «К» делает запрос вашему провайдеру на предмет предоставления ему логов вашей деятельности в сети в данное время.
Сервис WebMoney соответственно сообщает об активности транзакции на данный момент и предоставляет IP злоумышленника, на который был зарегистрирован его WMID.
Естественно айпишник злодея находится в Антарктиде, ибо он регистрировался через прокси или цепочку прокси-серверов.
Сотрудники управления отрабатывают каждые прокси, раскиданные по всему миру, внимательно изучая их логи (если, конечно, их реально получить).
Всё, негодяя вычислили в г.Тьмутараканске. Остаётся взять его с поличным и вернуть краденные деньги.

Хорошая сказка.

[kapter (WMID 834801180548 )]

Справка.

Управление «К» - специальное подразделение по борьбе с преступлениями в области информационных технологий в структуре МВД РФ. Оно было создано в 1998 году. В 2000 году были сформированы и приступили к работе территориальные подразделения Управления в 81 субъекте Российской Федерации.



Основные направления работы Управления «К» МВД России:

1. Борьба с преступлениями в сфере компьютерной информации:

- выявление и пресечение фактов неправомерного доступа к компьютерной информации;

- борьба с изготовлением, распространением и использованием вредоносных программ для ЭВМ;

- противодействие мошенническим действиям с использованием возможностей электронных платежных систем;

- борьба с распространением порнографических материалов с участием несовершеннолетних через сеть Интернет.

2. Пресечение противоправных действий в информационно - телекоммуникационных сетях, включая сеть Интернет:

- выявление и пресечение преступлений, связанных с незаконным использованием ресурсов сетей сотовой и проводной связи;

- противодействие мошенническим действиям, совершаемым с использованием информационно-телекоммуникационных сетей, включая сеть Интернет;

- противодействие и пресечение попыток неправомерного доступа к коммерческим каналам спутникового и кабельного телевидения.

3. Борьба с незаконным оборотом радиоэлектронных и специальных технических средств.

4. Выявление и пресечение фактов нарушения авторских и смежных прав в сфере информационных технологий. Борьба с изготовлением и распространением нелицензионного программного обеспечения для ЭВМ (на машинных носителях информации, через информационно-телекоммуникационные сети).

5. Борьба с международными преступлениями в сфере информационных технологий:

- противодействие преступлениям в сфере информационных технологий, носящим международный характер;

- взаимодействие с национальными контактными пунктами зарубежных государств.

6. Международное сотрудничество в области борьбы с преступлениями, совершаемыми с использованием информационных технологий.

http://www.mvd.ru/struct/upravleniek/

[Deacon (WMID 326723250670 )]

Звонил я в отдел "К" в своем городе - сказали, что подавать заявление надо в РУВД.

ПыСы. В статье про кражи с кредитных карт написано, что обычно банки сами занимаются кражами с кредитных карт, а не скидывают это на клиента.