• Добро пожаловать на инвестиционный форум!

    Во всем многообразии инвестиций трудно разобраться. MMGP станет вашим надежным помощником и путеводителем в мире инвестиций. Только самые последние тренды, передовые технологии и новые возможности. 400 тысяч пользователей уже выбрали нас. Самые актуальные новости, проверенные стратегии и способы заработка. Сюда люди приходят поделиться своим опытом, найти и обсудить новые перспективы. 16 миллионов сообщений, оставленных нашими пользователями, содержат их бесценный опыт и знания. Присоединяйтесь и вы!

    Впрочем, для начала надо зарегистрироваться!
  • 🔥 Мы ищем редактора/модератора для новостных разделов форума. Подробности вакансии и условия можно найти в данной теме
  • 🐑 Моисей водил бесплатно. А мы платим, хотя тоже планируем работать 40 лет! Принимай участие в партнеской программе MMGP
  • 📝 Знаешь буквы и умеешь их компоновать? Платим. Дорого. Бессрочная акция от MMGP: "ОПЛАТА ЗА СООБЩЕНИЯ"

Троян для WM & Способы защиты

okyl

Специалист
Регистрация
03.10.2007
Сообщения
746
Реакции
22
Поинты
0.00
В последний месяц (вроде как) появился троян для WM.
Сделан он, как я понимаю, "на заказ" и антивирусы (Norton 360, NOD32) его не видят. Проходит вроде как через дырки в Java-машине, т.е. регулярного апдейта Windows не достаточно.

Троян выставляет root-kit, который не обнаруживается антивирусным софтом. Реально я смог найти root-kit только при помощи UnHackMe(http://www.greatis.com/security/, входит в RegRun Platinum).
Проявление трояна (возможно уже после того, как сворует деньги, но скорее всего - одновременно) - при заходе в WM keeper прога пишет, что некоректный пароль, а при попытке инициализации при помощи KWM-файла, троян обнуляет этот файл.

Резюме (те ошибки, которые я допустил):
- Не держите в WM свой банкрол
- Старайтесь заходить в кипер только в рабочие часы, когда вы сможете связаться с WebMoney с просьбой заблокировать акк (ваш и того, куда ушли деньги, если уже ушли)- думаю, что с момента, когда вы не смогли зайти в систему до того момента, когда деньги уже ушли, если реально пара минут.
- Антивирус + Файрвол - недостаточно для спокойствия. Нужен еще и Anti-rootkit, который бы грузился до старта системы (сразу после chkdsk) и мониторил все, что грузится на ваш комп.
- Не думайте, что с вами этого не может произойти.
- Настройте кипер на нескольких машинах, чтобы успеть что-нибудь сделать со своими деньгами с чистой машины.

У меня стащили в районе чуть больше 2к WMZ. Месяц назад там лежало 16к, но по счастливой случайности как раз до этого момента вывел их.

источник http://forum.cgm.ru/msg?th=21315&start=0&

P.S. будьте бдительны


пострадавшие от трояна:
http://forum.webmoney.ru/Default.aspx?g=posts&t=6063
http://forum.webmoney.ru/Default.aspx?g=posts&t=5945
 
Последнее редактирование:

Moneytaker

Любитель
Регистрация
15.10.2007
Сообщения
131
Реакции
7
Поинты
0.00

myal1969

Любитель
Регистрация
20.07.2007
Сообщения
773
Реакции
3
Поинты
0.00

okyl

Специалист
Регистрация
03.10.2007
Сообщения
746
Реакции
22
Поинты
0.00
сделайте привязку по айпи и не бойтесь никакого трояна,и еще зная пароль откипера надо иметь файл ключей и пароль к файлу так что если вы сами не сделаете глупость ,то ваши деньги в безопасности
блокировка по айпи не поможет.

у пострадавшего как раз таки была блокировка по айпи:
- кипер запрашивает пароль, троян его перехватывает
- в открытой пользователем сессии троян подсовывает киперу левый пароль.
Далее параллельно:
- троян стартует сессию с правильным паролем и выводит деньги
- кипер запрашивает KWM файл, а троян перехватывает его и затирает.
 

Demark

Интересующийся
Регистрация
02.08.2007
Сообщения
165
Реакции
5
Поинты
0.00
Троян это программа, выполняемая на твоём компе. Это значит, что ты не сможешь запретить её делать, что сам делаешь. У неё те же права, что и у тебя. И IP твой использует тоже.
А на самом деле хотелось бы узнать как он проникает, а не искать его или его создателя после. Как я понимаю если он проникнет, то достаточно 1й попытки запуска кипера и всё.
Поэтому если кто распологает информацией о том, как он проникает в систему напишите.

Автор статьи первой с форума явно не знаком с сетевой безопасностью.
Например троянов не всегда находят антивирусы, они для другого, а находят только если они порядком всем надоели и занесены в рейтинг топ 100 пример. А так файрвол нужен нормальный и всё. Лучше лицензионный. У меня Outpost PRO. Он проверяет всё запускаемое на доступ к процессам. Например говорит, что кто-то хочит запустить процесс со своими данными. Рекомендую.

А ещё была прога не помню как называется, но символ был такой носорог синий из металла. Она тоже за всем следит.
 
Последнее редактирование модератором:

klin

Новичок
Регистрация
17.06.2007
Сообщения
1,786
Реакции
0
Поинты
0.00
троян маскируют под всякую фигню типа "афигительные фотки афигительных девак савсем голых и с афигительными сиськами в архиве" фаил крепится к письму если кто не понял.......
ещё вариант "бесплатная афигительная заставка для вашего манитора ат афигительного сайта" тоже к письму или могут дать ссылку где скачать
или - "вам прислали флэш открытку" тоже в письме или раскажут где скачать
подобным образом.... никак по другому.. самый распрастранённый которым пользуются даже школьники это пинч

ТОЕСТЬ ОН НЕ ПОПАДАЕТ В КОМП ВЫ ЕГО САМИ В СВОЙ КОМП ЗАГРУЖАЕТЕ
 
Последнее редактирование:

klin

Новичок
Регистрация
17.06.2007
Сообщения
1,786
Реакции
0
Поинты
0.00
не поможет, ты же всё равно этот носитель рано или поздно подключиш к компу НО в некоторых случаях поможет переименовать на какоето другое расширение (поумолчанию оно .kwm) меняйте на коенибудь другое пофиг на какое напишите если ваш фаил ключа называется 3435522344.kwm измените название после точки например 3435522344.вле тогда меньше шансов на много что его у вас угонят или .txt поставте, врятли троян будет отсылать хозяину ваши файлы c расширением .txt :wink2:
 

okyl

Специалист
Регистрация
03.10.2007
Сообщения
746
Реакции
22
Поинты
0.00
я вообще пришел к мысли, что надо второй системник брать и вот такой вот девайс.

с грязного компа все основные дела и не хранить на нём никаких платежных данных.
с чистого компа управлять только платежами и никуда свой нос не сувать, ничего не устанавливать, только лицензионный файрволл и официальное ПО для платежей.

и на душе будет спокойно.
 

Evons

Интересующийся
Регистрация
27.11.2007
Сообщения
254
Реакции
4
Поинты
0.00

myal1969

Любитель
Регистрация
20.07.2007
Сообщения
773
Реакции
3
Поинты
0.00
Сейчас вышел новый Outpost Firewall Pro 2008,всем рекомендую.Пишите в личку дам сайт где можно скачать его.И потом никакой трой не сможет ничего сделать.

Outpost защищает от атак извне,а чтоб ловить троянов надо антивирусник и антишпионскую программу.Пробовал данный Outpost Firewall Pro 2008,не понравился криво сломан,из крякнутых Outpost мне больше всего нравится 3(хорошо сломан).Лицензионный Outpost любой хороший и чем свежее выпуск тем лучше
 

Brols

Любитель
Регистрация
26.12.2006
Сообщения
377
Реакции
0
Поинты
0.00
Outpost защищает от атак извне,а чтоб ловить троянов надо антивирусник и антишпионскую программу.
Сильное заблуждение. Фаервол контролирует сетевой обмен между компом и инетом (или другой сетью). Например, если у вас поселился неизвестный антивирусу троян ворующий ваши пароли, то ему ещё надо передать через сеть эти пароли злоумышленнику. И если фаервол правильно настроен, он перехватит обращение трояна. Всё, троян работает, делает свои тёмные делишки, но вреда вам не наносит:wink2:
Остаётся или подождать пока в антивирусных базах появится этот троян, или самостоятельно отправить его на анализ производителю антивируса.
 

myal1969

Любитель
Регистрация
20.07.2007
Сообщения
773
Реакции
3
Поинты
0.00
Сильное заблуждение. Фаервол контролирует сетевой обмен между компом и инетом (или другой сетью). Например, если у вас поселился неизвестный антивирусу троян ворующий ваши пароли, то ему ещё надо передать через сеть эти пароли злоумышленнику. И если фаервол правильно настроен, он перехватит обращение трояна. Всё, троян работает, делает свои тёмные делишки, но вреда вам не наносит:wink2:
Остаётся или подождать пока в антивирусных базах появится этот троян, или самостоятельно отправить его на анализ производителю антивируса.

С этим мнением позвольте не согласиться,в открытом виде троян не производит связи с "хозяином" он поэтому и называется "трояном".Он передает всю инфу тогда когда вы обмениваетесь трафиком с каким нибудь ресурсом.При настройки фейрвола он спрашивает разрешить ли такому файлу(программе,и т.п) соеденение.Если бы троян лез напролом через фервол,то это был бы не троян,а какой-то камикдзе приведу вам небольшую выдержку из статьи про трояны
AVZ – утилита Зайцева. Антивирусная утилита AVZ является инструментом для исследования и восстановления системы, и предназначена для автоматического или ручного поиска и удаления:
- SpyWare, AdvWare программ и модулей (это одно из основных назначений утилиты);
- Руткитов и вредоносных программ, маскирующих свои процессы
- Сетевых и почтовых червей;
- Троянских программ (включая все их разновидности, в частности Trojan-PSW, Trojan-Downloader, Trojan-Spy) и Backdoor (программ для скрытного удаленного управления компьютером);
- Троянских программ-звонилок (Dialer, Trojan.Dialer, Porn-Dialer);
- Клавиатурных шпионов и прочих программ, которые могут применяться для слежения за пользователем;
Другой особенностью AVZ являются многочисленные эвристические проверки системы, не основанные на механизме поиска по сигнатурам – это поиск RootKit, клавиатурных шпионов, различных Backdoor по базе типовых портов TCP/UDP. Подобные методы поиска позволяют находить новые разновидности вредоносных программ.
все эти программы(вирусы) спокойно проходят через фейрволл.
Фейрволл-это стенка которая не пускает к вам нежелательных гостей(атаки,сканирование и т.п и т.д).
 

Brols

Любитель
Регистрация
26.12.2006
Сообщения
377
Реакции
0
Поинты
0.00
Фейрволл-это стенка которая не пускает к вам нежелательных гостей(атаки,сканирование и т.п и т.д).
Это выражение подходит разве что для встроеной в виндовс стенки. Независимые разработчики значительно повысили возможности своих продуктов.
Поскольку вам известно об AVZ, то вы должны знать и о virusinfo.info ;)
Вот статейка довольно неплохо описывающая, что такое фаервол: _http://virusinfo.info/showthread.php?t=1755
 

Evons

Интересующийся
Регистрация
27.11.2007
Сообщения
254
Реакции
4
Поинты
0.00
Фаервол нетолько контролирует сетевой обмен между компом и инетом,он любой новый процесс в компе контролирует если процес стартует то фаервол будет запрашивать у вас разрешения на старт процесса.А насчет отсеевать трои только Антивирусом при свежим обновлении.
 

myal1969

Любитель
Регистрация
20.07.2007
Сообщения
773
Реакции
3
Поинты
0.00
Фаервол нетолько контролирует сетевой обмен между компом и инетом,он любой новый процесс в компе контролирует если процес стартует то фаервол будет запрашивать у вас разрешения на старт процесса.А насчет отсеевать трои только Антивирусом при свежим обновлении.
Вы сами себе ответили
он любой новый процесс в компе контролирует если процес стартует
троян не формирует новый процес он пользуется теми процессами которые используете вы
 

okyl

Специалист
Регистрация
03.10.2007
Сообщения
746
Реакции
22
Поинты
0.00
Мдя , на что только не идут люди...

системник не обязательно брать мощный.
под такой "чистый платежный" комп подойдёт "плёвая" конфигурация:
пень3 или целерончик 800 или какой-нибудь Дурон\Атлон 800-1200
мать со встроенным видео
256 памяти и копеешный винт на пяток гигов + сетевая карточка
дешевые корпус и блок питания
эта рухлядь у бэушников по определению не может стоить больше 3000 деревянных.
дополнительный моник, клаву и мышь можно не брать, а купить KVM-переключатель.

100-120 баксов за "безопасность" - не деньги.

главное не экономить на вентиляторах, а купить подороже но безшумные
чтобы дом в заводской цех не превращался от 2-х системников :music000:

А по поводу файрволов, то они почти все работают с сетью через стандартную виндовую библиотеку нэтсок и ничего не смогут сделать (ни отследить, ни заблокировать) с вирусами или троянами, которые работают напрямую с низкоуровневыми железячными прерываниями сетевухи или из нулевого кольца процессора.
Файрволл - это как обычный забор. Какой ни городи - перемахнуть, снести или пролезть через дырку всегда можно. :hi000000:
 
Последнее редактирование:

mumrik

Интересующийся
Регистрация
21.08.2007
Сообщения
85
Реакции
0
Поинты
0.00
Сверху Снизу