Украдены деньги WEBMONEY

Printable View

19.08.2008, 01:28
bost84

Украдены деньги WEBMONEY

Собственно нужно посмотреть на наличие скрытых троянов и прочей фигни...
дабы УБЕДИТЬСЯ ВОРУЕТ ЛИ СИСТЕМА WEBMONEY ДЕНЬГИ СВОИХ ПОЛЬЗОАТЕЛЕЙ или это работа новых неизвестных антивирусам вредоносных программ

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

собстно вот
Ошибки загрузки[B]virusinfo_syscheck.zip[/B]:
Превышен предел на форуме (14.2 Кбайт).
[B]virusinfo_syscure.zip[/B]:
Превышен предел на форуме (15.0 Кбайт).
[B]hijackthis.log[/B]:
Превышен предел на форуме (1.1 Кбайт).
19.08.2008, 01:29
wise-wistful

Заархивируйте 3 лога в один архив и на файлообменник, а нам тут ссылочку дайте.
19.08.2008, 01:34
bost84

ok секунду

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

[URL]http://rapidshare.com/files/138333239/LOGS________.ZIP[/URL]
19.08.2008, 01:51
wise-wistful

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\DOCUME~1\B68E~1\LOCALS~1\Temp\ALSysIO.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=28375[/url]
19.08.2008, 12:13
bost84

второй раз отправил правильно...

[size="1"][color="#666686"][B][I]Добавлено через 10 часов 5 минут[/I][/B][/color][/size]

кто-нить смотрел?
что скажете?
19.08.2008, 12:52
Rene-gad

[QUOTE=bost84;269851]
кто-нить смотрел?
[/QUOTE]Смотрели: В присланном Вами файле не найдено ничего вредоносного. [B]Архив пустой[/B]
19.08.2008, 12:59
bost84

а по логам ещё что-нибудь подозрительное есть?
если нет то вывод только один... сам напрашивается...
ЕСЛИ НЕТ ЗЛОВРЕДОВ КОТОРЫЕ МОГЛИ УВЕСТИ ПАРОЛИ И КЛЮЧ К КОШЕЛЬКУ WEBMONEY ЗНАЧИТ ДЕНЬГИ УВЕЛА САМА ОРГАНИЗАЦИЯ!!!
19.08.2008, 13:05
Rene-gad

[QUOTE=bost84;270071]а по логам ещё что-нибудь подозрительное есть?[/QUOTE]Коллега wise-wistful нашел подозрительное и хотел на него посмотреть. Попробуйте найти файл и повторить закачку. Предварительно убедитесь, попал ли файл в карантин.
19.08.2008, 13:17
bost84

файл не найден!
искал по правилам как описано...
что дальше?
19.08.2008, 13:20
Rene-gad

Значит больше ничего подозрительного на найдено.
А как система себя ведет?
19.08.2008, 13:27
bost84

Система ведёт себя нормально!
никак подзрений не вызывает!
я собственно поэтому так про WEBMONEY и говорю.
Защита стоит KIS на максимальных настройках проверки + аппаратный фаервол. Естественно никакие файлы (тем более ключей) и пароли никому не отсылал не говорил... вообщем имею представление о безопасности... вот собственно и пытаюсь выяснить что к чему...
насколько я понимаю без трояна подобрать 3 разных пароля и скопировать файл ключей нереально в данном случае... но трояна как вы говорите тоже нет... остаётся один вариант.
19.08.2008, 13:32
Rene-gad

[QUOTE=bost84;270103]
насколько я понимаю без трояна подобрать 3 разных пароля и скопировать файл ключей нереально в данном случае... [/QUOTE]Смотря какие пароли.
19.08.2008, 13:33
bost84

[quote=Rene-gad;270106]Смотря какие пароли.[/quote]
даже если бы были 123456 то как ключ увели???
хотя пароли конечно же не такие были...
19.08.2008, 13:36
Зайцев Олег

[quote=bost84;270103]Система ведёт себя нормально!
никак подзрений не вызывает!
я собственно поэтому так про WEBMONEY и говорю.
Защита стоит KIS на максимальных настройках проверки + аппаратный фаервол. Естественно никакие файлы (тем более ключей) и пароли никому не отсылал не говорил... вообщем имею представление о безопасности... вот собственно и пытаюсь выяснить что к чему...
насколько я понимаю без трояна подобрать 3 разных пароля и скопировать файл ключей нереально в данном случае... но трояна как вы говорите тоже нет... остаётся один вариант.[/quote]
Начнем по порядку ...
1. сколько денег пропало ?
2. есть ли доступ к кошельку ?
3. если ответ на п.п. 2 положительный, то что записано в логах WebMoney кошелька ? (если два раза щелкнуть скажем по рублевому кошельку, открывается лог всех операций - поступления, списания, когда, кому и т.п. в хронологическом порядке)
19.08.2008, 13:38
bost84

[quote=Зайцев Олег;270110]Начнем по порядку ...
1. сколько денег пропало ?
2. есть ли доступ к кошельку ?
3. если ответ на п.п. 2 положительный, то что записано в логах WebMoney кошелька ? (если два раза щелкнуть скажем по рублевому кошельку, открывается лог всех операций - поступления, списания, когда, кому и т.п. в хронологическом порядке)[/quote]
в том то и дело...
не надо меня совсем за дурака считать
1. 12500 (с чем то)рублей
2. доступа нет пароль сменили, в оставшихся от кошельках данных посмотрел перевода нет. значит не троян подомной не переводил деньги.
19.08.2008, 13:47
Зайцев Олег

[quote=bost84;270111]в том то и дело...
не надо меня совсем за дурака считать
1. 12500 (с чем то)рублей
2. доступа нет пароль сменили, в оставшихся от кошельках данных посмотрел перевода нет. значит не троян подомной не переводил деньги.[/quote]
Никто Вас за дурака не считает - прочто Вы представьте, что пришли на прием к врачу // Вы же не врываетесь в кабинет с криком "Не надо меня считать дураком, я все в медицине лучше вас знаю ..." :) Мы же совершенно не в курсе вашей проблемы - нужно понять ситуацию - деньги то по разному можно "увести" - левый перевод, полный захват webmoney и т.п. Далее вот такие вопросы
1. Если нет доступа к кошельку, то откуда известно, что в кошельке нет денег ?
2. кошелек на свои данные регистрировался (там же есть email для активации, ФИО, паспортные данные и т.п.) ? если да, то в саппорт webmoney нужно срочно написать письмо с того ящика, который указан был при регистрации кошелька - и сообщить о проблеме, указав все свои реквизиты - посмотрим, что они ответят. А перед этим поменять для профилактики пароли на почту
3. Как сделан доступ с компьютера в Инет ? (прямое подключения через что-то типа xDSL, "домашняя сеть", некая внутридомовая сеть провайдера и т.п. ?
4. Под какой учетной записью идет работа (в плане с правами она или нет)
5. Пароль учетной записи и учетной записи админа длинные/корявые или как обычно пустые ?
19.08.2008, 14:11
bost84

[quote=Зайцев Олег;270117]Никто Вас за дурака не считает - прочто Вы представьте, что пришли на прием к врачу // Вы же не врываетесь в кабинет с криком "Не надо меня считать дураком, я все в медицине лучше вас знаю ..." :) Мы же совершенно не в курсе вашей проблемы - нужно понять ситуацию - деньги то по разному можно "увести" - левый перевод, полный захват webmoney и т.п. Далее вот такие вопросы
1. Если нет доступа к кошельку, то откуда известно, что в кошельке нет денег ?
2. кошелек на свои данные регистрировался (там же есть email для активации, ФИО, паспортные данные и т.п.) ? если да, то в саппорт webmoney нужно срочно написать письмо с того ящика, который указан был при регистрации кошелька - и сообщить о проблеме, указав все свои реквизиты - посмотрим, что они ответят. А перед этим поменять для профилактики пароли на почту
3. Как сделан доступ с компьютера в Инет ? (прямое подключения через что-то типа xDSL, "домашняя сеть", некая внутридомовая сеть провайдера и т.п. ?[/quote]
простите сорвалось... действительно вы ведь ничего не знаете... больше так не буду:?
1. Известно от арбитража WEBMONEY, естественно после того как несколько раз подряд не смог войти в кипер связался со службой поддержки WM где мне было сказано что пароль 15.08.2008 был изменён. Этого же числа я и не смог войти в кипер. сказали писать в арбитраж... я естественно сразу туда... поздно ночью 12:10 по Москве приходит письмо от арбитража мол на кошельках пусто все деньги переведены на такой то счёт в системе РБК money. Ваш WMID заблокирован.(имеется вся переписка).
2.Сделано естественно. Регился на свои данные так что с этим проблем нет. заявку на восстановление доступа подал... в статусе уже даже стоит : данные проверены и переданы в отдел восстановления. ПАРОЛЬ НА ПОЧТУ СМЕНИЛ ПЕРВЫМ ДЕЛОМ!
С ответом не понятно пока... они отвечают очень скупо... такое ощущение что им это всё побоку. Хотя я уже без них всё выяснил куда ушли все деньги. Связался с магазином. На деньги кстати были куплены аккаунты на рапиду. Магазин готов вернуть деньги. ТОЛЬКО НУЖНО ЧТОБЫ WEBMONEY подтвердили факт мошенничества. Тем более что сегодня пришло письмо мол нам добавить нечего только вот ip с которого был последний доступ на ваш кипер... есссно IP не из моей подсетки. я им опять отписал чтобы связались с РБК и сообщили что деньги украдены. иначе РБК мне их не вернет. узнал про купленные аккаунты от РБК собственно. обратился в их поддержку они мне сказали. жду очередного ответа от WEBMONEY. (есть вся история переписки со всеми).
3. доступ xDSL. динамический ip вида xxx.xxx.zzz.yyy
zzz меняется очень редко
yyy при каждом переподключении
ip никаких не внутренних сетей а глобальные. т.е. каждому абоненту собственный ip в сети интернет.
стоит модем со встроенным роутером. в нём включён фаерволл на максимум. даже на ping не отвечает. проверял.
4. работа под админом
5. средней безопасности пароль на админа скажем так. но не 123456

Вообще очень хочется разобраться в ситуации. ОЧЕНЬ НЕ ХОЧЕТСЯ ВЕРИТЬ ЧТО WEBMONEY ЗДЕСЬ ПРИЧАСТНЫ.

жду ваших следующих вопросов...
19.08.2008, 14:30
kps

Я не думаю, что Webmoney здесь причастны.
Даже если у Вас на компьютере нет вредоносной программы, ворующей пароли, это не значит, что ее не было. Существует к примеру троян - вор паролей Пинч, так вот он самоуничтожается после сбора паролей и оправки их на адрес злоумышленника.

В логах у Вас есть подозрительный файл, проверим его:
Выполните скрипт в AVZ:
[code]begin
ClearQuarantine;
QuarantineFile('C:\WINDOWS\pagepromoterbar.dll','');
end.[/code]
Пришлите карантин согласно приложению 3 правил.

Рекомендуется удалить программу Bonjour.
19.08.2008, 14:35
Зайцев Олег

[quote=bost84;270135]
жду ваших следующих вопросов...[/quote]
давайте рассуждать:
1. Явного зловреда не видно ... в данной ситуации можно применить более "крутые" меры - снять HDD и пролечить его с чистой машины KAV и CureIT - на случай, если на диске сидит что-то хитро и надежно маскирующееся
2. если железный FW + KIS + пароль на учетной записи, то вероятность того, что кто-то пролез извне и хакнул ПК выглядит крайне маловероятной
3. Физический доступ к ПК у кого-то есть ? (дети, родственники, сослуживцы ... - кто угодно) ?
4. Пароль на учетной записи или BIOS спрашивается при загрузке ПК ?

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

[quote=kps;270153]... Существует к примеру троян - вор паролей Пинч, так вот он самоуничтожается после сбора паролей и оправки их на адрес злоумышленника. ...[/quote]
Я тоже так думал - но во первых пинч не может украсть пароль Webmoney (последний его не хранит), а во вторых - для доступа к кошельку нужен еще файл ключей + при смене IP и железа в теории кошелек должен заблокироваться и на указанный в регистрации email высылается код активации. Это кстати можно уточнить в саппорте и арбитраже Webmoney - высылали ли они после смены пароля код активации кошелька, и если да - на какой адрес
19.08.2008, 14:44
bost84

[quote=Зайцев Олег;270155]давайте рассуждать:
1. Явного зловреда не видно ... в данной ситуации можно применить более "крутые" меры - снять HDD и пролечить его с чистой машины KAV и CureIT - на случай, если на диске сидит что-то хитро и надежно маскирующееся
2. если железный FW + KIS + пароль на учетной записи, то вероятность того, что кто-то пролез извне и хакнул ПК выглядит крайне маловероятной
3. Физический доступ к ПК у кого-то есть ? (дети, родственники, сослуживцы ... - кто угодно) ?
4. Пароль на учетной записи или BIOS спрашивается при загрузке ПК ?[/quote]
1. к сожалению нет возможности так сделать. по крайней мере пока.
2. и я про тоже.
3. Доступ только у меня, комп дома стоит.
4. нет. на биосе пароля нет, на записи тоже. ещё раз повторю что физически доступом к компу воспользоваться никто не мог. Если только заиметь ключи от квартиры.:D но это уже бред. и не ради такой суммы так мутить.

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

[quote=Зайцев Олег;270155]
Я тоже так думал - но во первых пинч не может украсть пароль Webmoney (последний его не хранит), а во вторых - для доступа к кошельку нужен еще файл ключей + при смене IP и железа в теории кошелек должен заблокироваться и на указанный в регистрации email высылается код активации. Это кстати можно уточнить в саппорте и арбитраже Webmoney - высылали ли они после смены пароля код активации кошелька, и если да - на какой адрес[/quote]
обязательно запрошу...
повторюсь если кто не знает на почту письмо с кодом активации не приходило!!!
19.08.2008, 14:50
DVi

[QUOTE=bost84;270166]1. к сожалению нет возможности так сделать. по крайней мере пока.[/QUOTE]
Попробуйте загрузиться с какого-нибудь LiveCD (загрузочного CD-диска) и проверить жесткий диск антивирусом. Это действие аналогично тому, что предложил Олег.
19.08.2008, 14:55
bost84

[quote=kps;270153]Я не думаю, что Webmoney здесь причастны.
Даже если у Вас на компьютере нет вредоносной программы, ворующей пароли, это не значит, что ее не было. Существует к примеру троян - вор паролей Пинч, так вот он самоуничтожается после сбора паролей и оправки их на адрес злоумышленника.

В логах у Вас есть подозрительный файл, проверим его:
Выполните скрипт в AVZ:
[code]begin
ClearQuarantine;
QuarantineFile('C:\WINDOWS\pagepromoterbar.dll','');
end.[/code]
Пришлите карантин согласно приложению 3 правил.

Рекомендуется удалить программу Bonjour.[/quote]
карантин отправлен.
жду ответа...
сразу скажу что это надстройка для IE на неё KIS реагирует как на рекламную программу. она показывает наличие сайта в каталогах пр тиц и прочее...
а вот программу Bonjour я не могу найти... скажите где вы её увидели???
19.08.2008, 15:00
kps

[QUOTE=bost84;270183]карантин отправлен.
жду ответа...[/QUOTE]

Вы прислали файл avz00001.ini , а нужно прислать avz00001.dta.

[QUOTE=bost84;270183]сразу скажу что это надстройка для IE на неё KIS реагирует как на рекламную программу. [/QUOTE]

Если Вы заботитесь о чистоте системы, то не стоит держать адваре-программы. Некоторые из них могут содержать и шпионские функции.

[QUOTE=bost84;270183]а вот программу Bonjour я не могу найти... скажите где вы её увидели???[/QUOTE]

c:\program files\bonjour\
19.08.2008, 15:15
bost84

файл отправил...
программу удалил...

жду результатов
19.08.2008, 15:30
kps

C:\WINDOWS\pagepromoterbar.dll - not-a-virus:AdWare.Win32.Delf.ax (по классификации ЛК)
Интересны также такие детекты на VirusTotal:
AntiVir - ADSPY/Delf.AX
AVG - Generic2.ADDP
F-Prot - W32/Trojan-PBNP-based!Maximus
Symantec - Trojan Horse
и много детектов файла другими антивирусами как адваре.

Посмотрите, есть ли у него uninstall (в установке/удалении программ), если нет, то выполните такой скрипт в AVZ для его удаления:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\pagepromoterbar.dll');
DelBHO('BA5D8DF9-1851-4660-B3AE-89E6E030AC34');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Если нет возможности сделать проверку системы антивирусом с Live CD, то выполните пункт 2 правил.
19.08.2008, 17:04
bost84

удалил uninstall-ом
к сведению эта надстройка стоит уже очень давно...
и украсть деньги могли раньше когда были большие суммы...

[size="1"][color="#666686"][B][I]Добавлено через 1 час 27 минут[/I][/B][/color][/size]

больше проверять нечего?
можно выносить вердикт?
19.08.2008, 17:28
Зайцев Олег

[quote=bost84;270222]
больше проверять нечего?
можно выносить вердикт?[/quote]
Кроме полного сканирования ПК после загрузки с BootCD пока ничего более разумного в голову не приходит. В данной ситуации получается, что как будто кто-то имел копию ключевого файла Webmoney + пароль + полный доступ к почтовому ящику, с которого проходила авторизация. Технически конечно такое в принципе возможно, можно рассмотреть сценарий - если кто-то установил на ПК некий Backdoor троян с функций кейлоггера, что позволило записать пароль доступа к Webmoney, далее этот некто скопировал файл с ключами и получив параметры доступа к почте провел активацию кошелька, поменял пароль и снял все деньги. Но это довольно сложно сделать технически и это должно было делаться целенаправленно ... плюс маскировка следов - в логе то ничего подозрительного не видно. Чисто теоретически возможен один сценарий, делающий это простым и реальным - пароли записаны куда-то в текстовый файл, и он вместе ключами записан на флешку. Достаточно воткнуть ее на ПК "приятеля" с активным файлграббером - и у него все в руках... но такой вариант уж очень фантастичен и нереален
19.08.2008, 17:37
bost84

вот мы и пришли к логическому концу...
все пароли только в голове...
ключ на отдельной флэшке... которая тупо лежит в ящике чтобы после установкпи винд или смены оборудования ключик указать... флэшка ипользуется только для хранения ключа...

отсюда вывод что всё вышеописанное кроме меня может иметь только WEBMONEY...
точнее даже сказать не всё... а всё кроме доступа к почте... хотя в такой ситуации им доступ к почте и ненужен вовсе...