MMGP logo
Присоединяйтесь к нашему инвестиционному форуму, на котором уже 648,693 пользователей. Чтобы получить доступ ко многим закрытым разделам и начать общение - зарегистрируйтесь прямо сейчас.
Как защитить свой компьютер от хакеров и вирусов? Ответ здесь.
Первый пост Опции темы
Старый 02.11.2007, 19:33
#1
Специалист
 
Пол: Мужской
Регистрация: 02.10.2007
Сообщений: 837
Благодарностей: 163
Троян для WM & Способы защиты

Цитата:
В последний месяц (вроде как) появился троян для WM.
Сделан он, как я понимаю, "на заказ" и антивирусы (Norton 360, NOD32) его не видят. Проходит вроде как через дырки в Java-машине, т.е. регулярного апдейта Windows не достаточно.

Троян выставляет root-kit, который не обнаруживается антивирусным софтом. Реально я смог найти root-kit только при помощи UnHackMe(https://www.greatis.com/security/, входит в RegRun Platinum).
Проявление трояна (возможно уже после того, как сворует деньги, но скорее всего - одновременно) - при заходе в WM keeper прога пишет, что некоректный пароль, а при попытке инициализации при помощи KWM-файла, троян обнуляет этот файл.

Резюме (те ошибки, которые я допустил):
- Не держите в WM свой банкрол
- Старайтесь заходить в кипер только в рабочие часы, когда вы сможете связаться с WebMoney с просьбой заблокировать акк (ваш и того, куда ушли деньги, если уже ушли)- думаю, что с момента, когда вы не смогли зайти в систему до того момента, когда деньги уже ушли, если реально пара минут.
- Антивирус + Файрвол - недостаточно для спокойствия. Нужен еще и Anti-rootkit, который бы грузился до старта системы (сразу после chkdsk) и мониторил все, что грузится на ваш комп.
- Не думайте, что с вами этого не может произойти.
- Настройте кипер на нескольких машинах, чтобы успеть что-нибудь сделать со своими деньгами с чистой машины.

У меня стащили в районе чуть больше 2к WMZ. Месяц назад там лежало 16к, но по счастливой случайности как раз до этого момента вывел их.
источник https://forum.cgm.ru/msg?th=21315&start=0&

P.S. будьте бдительны


пострадавшие от трояна:
https://forum.webmoney.ru/Default.aspx?g=posts&t=6063
https://forum.webmoney.ru/Default.aspx?g=posts&t=5945

Последний раз редактировалось okyl; 20.12.2007 в 00:42.
okyl вне форума
Сказали спасибо 6 раз(а):
drdreikus (03.11.2007), Jaguarmalsi (07.02.2009), kuper31 (03.11.2007), re02kno (03.08.2009), slavalobster (27.03.2009), Spiritfan (15.05.2009)
Старый 03.11.2007, 13:58
#2
Любитель
 
Пол: Мужской
Инвестирую в: Свой бизнес
Регистрация: 14.10.2007
Сообщений: 193
Благодарностей: 20
Цитата:
Нужен еще и Anti-rootkit, который бы грузился до старта системы (сразу после chkdsk) и мониторил все, что грузится на ваш комп.
А где можно скачать!!??
Moneytaker вне форума
Старый 03.11.2007, 14:09
#3
Специалист
 
Пол: Мужской
Регистрация: 02.10.2007
Сообщений: 837
Благодарностей: 163
Цитата:
Сообщение от Moneytaker Посмотреть сообщение
А где можно скачать!!??
https://www.izcity.com/lib/19042007/p...it-1-06-00.htm
https://www.sophos.com/products/free-...i-rootkit.html
okyl вне форума
Старый 03.11.2007, 18:36
#4
Любитель
 
Пол: Мужской
Адрес: Россия регион 53
Инвестирую в: Автосерфинг
Регистрация: 19.07.2007
Сообщений: 1,221
Благодарностей: 84
сделайте привязку по айпи и не бойтесь никакого трояна,и еще зная пароль откипера надо иметь файл ключей и пароль к файлу так что если вы сами не сделаете глупость ,то ваши деньги в безопасности
myal1969 вне форума
Старый 03.11.2007, 20:03
#5
Специалист
 
Пол: Мужской
Регистрация: 02.10.2007
Сообщений: 837
Благодарностей: 163
Цитата:
Сообщение от myal1969 Посмотреть сообщение
сделайте привязку по айпи и не бойтесь никакого трояна,и еще зная пароль откипера надо иметь файл ключей и пароль к файлу так что если вы сами не сделаете глупость ,то ваши деньги в безопасности
блокировка по айпи не поможет.

у пострадавшего как раз таки была блокировка по айпи:
Цитата:
- кипер запрашивает пароль, троян его перехватывает
- в открытой пользователем сессии троян подсовывает киперу левый пароль.
Далее параллельно:
- троян стартует сессию с правильным паролем и выводит деньги
- кипер запрашивает KWM файл, а троян перехватывает его и затирает.
okyl вне форума
Старый 03.11.2007, 21:06
#6
Интересующийся
 
Пол: Мужской
Адрес: Казань
Инвестирую в: Форекс
Регистрация: 01.08.2007
Сообщений: 202
Благодарностей: 36
Троян это программа, выполняемая на твоём компе. Это значит, что ты не сможешь запретить её делать, что сам делаешь. У неё те же права, что и у тебя. И IP твой использует тоже.
А на самом деле хотелось бы узнать как он проникает, а не искать его или его создателя после. Как я понимаю если он проникнет, то достаточно 1й попытки запуска кипера и всё.
Поэтому если кто распологает информацией о том, как он проникает в систему напишите.

Автор статьи первой с форума явно не знаком с сетевой безопасностью.
Например троянов не всегда находят антивирусы, они для другого, а находят только если они порядком всем надоели и занесены в рейтинг топ 100 пример. А так файрвол нужен нормальный и всё. Лучше лицензионный. У меня Outpost PRO. Он проверяет всё запускаемое на доступ к процессам. Например говорит, что кто-то хочит запустить процесс со своими данными. Рекомендую.

А ещё была прога не помню как называется, но символ был такой носорог синий из металла. Она тоже за всем следит.

Последний раз редактировалось OmRam; 20.12.2007 в 00:57. Причина: мультипостинг
Demark вне форума
Старый 03.11.2007, 21:32
#7
Заблокированный
 
Пол: Мужской
Инвестирую в: Свой бизнес
Регистрация: 16.06.2007
Сообщений: 2,663
Благодарностей: 426
троян маскируют под всякую фигню типа "афигительные фотки афигительных девак савсем голых и с афигительными сиськами в архиве" фаил крепится к письму если кто не понял.......
ещё вариант "бесплатная афигительная заставка для вашего манитора ат афигительного сайта" тоже к письму или могут дать ссылку где скачать
или - "вам прислали флэш открытку" тоже в письме или раскажут где скачать
подобным образом.... никак по другому.. самый распрастранённый которым пользуются даже школьники это пинч

ТОЕСТЬ ОН НЕ ПОПАДАЕТ В КОМП ВЫ ЕГО САМИ В СВОЙ КОМП ЗАГРУЖАЕТЕ

Последний раз редактировалось klin; 03.11.2007 в 21:36.
klin вне форума
Старый 03.11.2007, 23:07
#8
Интересующийся
 
Пол: Мужской
Инвестирую в: Свой бизнес
Регистрация: 22.10.2007
Сообщений: 81
Благодарностей: 2
А если ключи от WebMoney сохранены не на компьютере это поможет ??
drdreikus вне форума
Старый 04.11.2007, 00:44
#9
Заблокированный
 
Пол: Мужской
Инвестирую в: Свой бизнес
Регистрация: 16.06.2007
Сообщений: 2,663
Благодарностей: 426
не поможет, ты же всё равно этот носитель рано или поздно подключиш к компу НО в некоторых случаях поможет переименовать на какоето другое расширение (поумолчанию оно .kwm) меняйте на коенибудь другое пофиг на какое напишите если ваш фаил ключа называется 3435522344.kwm измените название после точки например 3435522344.вле тогда меньше шансов на много что его у вас угонят или .txt поставте, врятли троян будет отсылать хозяину ваши файлы c расширением .txt
klin вне форума
Сказали спасибо:
Владимир112 (15.07.2008)
Старый 04.11.2007, 03:15
#10
Специалист
 
Пол: Мужской
Регистрация: 02.10.2007
Сообщений: 837
Благодарностей: 163
я вообще пришел к мысли, что надо второй системник брать и вот такой вот девайс.

с грязного компа все основные дела и не хранить на нём никаких платежных данных.
с чистого компа управлять только платежами и никуда свой нос не сувать, ничего не устанавливать, только лицензионный файрволл и официальное ПО для платежей.

и на душе будет спокойно.
okyl вне форума
Старый 17.12.2007, 06:26
#11
Интересующийся
 
Пол: Мужской
Адрес: Юг
Инвестирую в: Свои планы
Регистрация: 26.11.2007
Сообщений: 279
Благодарностей: 12
Сейчас вышел новый Outpost Firewall Pro 2008,всем рекомендую.Пишите в личку дам сайт где можно скачать его.И потом никакой трой не сможет ничего сделать.
Evons вне форума
Старый 17.12.2007, 08:40
#12
Любитель
 
Пол: Мужской
Адрес: Россия регион 53
Инвестирую в: Автосерфинг
Регистрация: 19.07.2007
Сообщений: 1,221
Благодарностей: 84
Цитата:
Сообщение от Evons Посмотреть сообщение
Сейчас вышел новый Outpost Firewall Pro 2008,всем рекомендую.Пишите в личку дам сайт где можно скачать его.И потом никакой трой не сможет ничего сделать.
Outpost защищает от атак извне,а чтоб ловить троянов надо антивирусник и антишпионскую программу.Пробовал данный Outpost Firewall Pro 2008,не понравился криво сломан,из крякнутых Outpost мне больше всего нравится 3(хорошо сломан).Лицензионный Outpost любой хороший и чем свежее выпуск тем лучше
myal1969 вне форума
Старый 17.12.2007, 11:18
#13
Любитель
 
Пол: Мужской
Возраст: 37
Адрес: Киев
Инвестирую в: Тотализаторы
Регистрация: 25.12.2006
Сообщений: 515
Благодарностей: 55
Цитата:
Сообщение от myal1969 Посмотреть сообщение
Outpost защищает от атак извне,а чтоб ловить троянов надо антивирусник и антишпионскую программу.
Сильное заблуждение. Фаервол контролирует сетевой обмен между компом и инетом (или другой сетью). Например, если у вас поселился неизвестный антивирусу троян ворующий ваши пароли, то ему ещё надо передать через сеть эти пароли злоумышленнику. И если фаервол правильно настроен, он перехватит обращение трояна. Всё, троян работает, делает свои тёмные делишки, но вреда вам не наносит
Остаётся или подождать пока в антивирусных базах появится этот троян, или самостоятельно отправить его на анализ производителю антивируса.
Brols вне форума
Сказали спасибо:
Владимир112 (15.07.2008)
Старый 17.12.2007, 13:53
#14
Любитель
 
Пол: Мужской
Адрес: Россия регион 53
Инвестирую в: Автосерфинг
Регистрация: 19.07.2007
Сообщений: 1,221
Благодарностей: 84
Цитата:
Сообщение от Brols Посмотреть сообщение
Сильное заблуждение. Фаервол контролирует сетевой обмен между компом и инетом (или другой сетью). Например, если у вас поселился неизвестный антивирусу троян ворующий ваши пароли, то ему ещё надо передать через сеть эти пароли злоумышленнику. И если фаервол правильно настроен, он перехватит обращение трояна. Всё, троян работает, делает свои тёмные делишки, но вреда вам не наносит
Остаётся или подождать пока в антивирусных базах появится этот троян, или самостоятельно отправить его на анализ производителю антивируса.
С этим мнением позвольте не согласиться,в открытом виде троян не производит связи с "хозяином" он поэтому и называется "трояном".Он передает всю инфу тогда когда вы обмениваетесь трафиком с каким нибудь ресурсом.При настройки фейрвола он спрашивает разрешить ли такому файлу(программе,и т.п) соеденение.Если бы троян лез напролом через фервол,то это был бы не троян,а какой-то камикдзе приведу вам небольшую выдержку из статьи про трояны
Цитата:
AVZ – утилита Зайцева. Антивирусная утилита AVZ является инструментом для исследования и восстановления системы, и предназначена для автоматического или ручного поиска и удаления:
- SpyWare, AdvWare программ и модулей (это одно из основных назначений утилиты);
- Руткитов и вредоносных программ, маскирующих свои процессы
- Сетевых и почтовых червей;
- Троянских программ (включая все их разновидности, в частности Trojan-PSW, Trojan-Downloader, Trojan-Spy) и Backdoor (программ для скрытного удаленного управления компьютером);
- Троянских программ-звонилок (Dialer, Trojan.Dialer, Porn-Dialer);
- Клавиатурных шпионов и прочих программ, которые могут применяться для слежения за пользователем;
Другой особенностью AVZ являются многочисленные эвристические проверки системы, не основанные на механизме поиска по сигнатурам – это поиск RootKit, клавиатурных шпионов, различных Backdoor по базе типовых портов TCP/UDP. Подобные методы поиска позволяют находить новые разновидности вредоносных программ.
все эти программы(вирусы) спокойно проходят через фейрволл.
Фейрволл-это стенка которая не пускает к вам нежелательных гостей(атаки,сканирование и т.п и т.д).
myal1969 вне форума
Старый 17.12.2007, 15:55
#15
Любитель
 
Пол: Мужской
Возраст: 37
Адрес: Киев
Инвестирую в: Тотализаторы
Регистрация: 25.12.2006
Сообщений: 515
Благодарностей: 55
Цитата:
Фейрволл-это стенка которая не пускает к вам нежелательных гостей(атаки,сканирование и т.п и т.д).
Это выражение подходит разве что для встроеной в виндовс стенки. Независимые разработчики значительно повысили возможности своих продуктов.
Поскольку вам известно об AVZ, то вы должны знать и о virusinfo.info
Вот статейка довольно неплохо описывающая, что такое фаервол: _https://virusinfo.info/showthread.php?t=1755
Brols вне форума
Старый 18.12.2007, 02:03
#16
Интересующийся
 
Пол: Мужской
Адрес: Юг
Инвестирую в: Свои планы
Регистрация: 26.11.2007
Сообщений: 279
Благодарностей: 12
Фаервол нетолько контролирует сетевой обмен между компом и инетом,он любой новый процесс в компе контролирует если процес стартует то фаервол будет запрашивать у вас разрешения на старт процесса.А насчет отсеевать трои только Антивирусом при свежим обновлении.
Evons вне форума
Старый 18.12.2007, 08:53
#17
Любитель
 
Пол: Мужской
Адрес: Россия регион 53
Инвестирую в: Автосерфинг
Регистрация: 19.07.2007
Сообщений: 1,221
Благодарностей: 84
Цитата:
Сообщение от Evons Посмотреть сообщение
Фаервол нетолько контролирует сетевой обмен между компом и инетом,он любой новый процесс в компе контролирует если процес стартует то фаервол будет запрашивать у вас разрешения на старт процесса.А насчет отсеевать трои только Антивирусом при свежим обновлении.
Вы сами себе ответили
Цитата:
он любой новый процесс в компе контролирует если процес стартует
троян не формирует новый процес он пользуется теми процессами которые используете вы
myal1969 вне форума
Старый 18.12.2007, 09:13
#18
Специалист
 
Пол: Мужской
Регистрация: 02.10.2007
Сообщений: 837
Благодарностей: 163
Цитата:
Сообщение от sobaka6 Посмотреть сообщение
Мдя , на что только не идут люди...
системник не обязательно брать мощный.
под такой "чистый платежный" комп подойдёт "плёвая" конфигурация:
пень3 или целерончик 800 или какой-нибудь Дурон\Атлон 800-1200
мать со встроенным видео
256 памяти и копеешный винт на пяток гигов + сетевая карточка
дешевые корпус и блок питания
эта рухлядь у бэушников по определению не может стоить больше 3000 деревянных.
дополнительный моник, клаву и мышь можно не брать, а купить KVM-переключатель.

100-120 баксов за "безопасность" - не деньги.

главное не экономить на вентиляторах, а купить подороже но безшумные
чтобы дом в заводской цех не превращался от 2-х системников

А по поводу файрволов, то они почти все работают с сетью через стандартную виндовую библиотеку нэтсок и ничего не смогут сделать (ни отследить, ни заблокировать) с вирусами или троянами, которые работают напрямую с низкоуровневыми железячными прерываниями сетевухи или из нулевого кольца процессора.
Файрволл - это как обычный забор. Какой ни городи - перемахнуть, снести или пролезть через дырку всегда можно.

Последний раз редактировалось okyl; 18.12.2007 в 12:56.
okyl вне форума
Старый 18.12.2007, 11:51
#19
Интересующийся
 
Регистрация: 18.01.2007
Сообщений: 116
Благодарностей: 7
А можно поподробней о KVM-переключатель, что за зверь и с чем его едят?
fantom вне форума
Старый 18.12.2007, 12:57
#20
Интересующийся
 
Адрес: Москва
Регистрация: 20.08.2007
Сообщений: 87
Благодарностей: 2
Цитата:
Сообщение от fantom Посмотреть сообщение
А можно поподробней о KVM-переключатель, что за зверь и с чем его едят?
допустим тут посмотри _https://www.aten.ru/support/artview.php?idx=12
mumrik вне форума
Войдите, чтобы оставить комментарий.
Быстрый переход