Вебмани или деньги не туда (подмена кошельков через буфер обмена)

(Ответов: 18, Просмотров: 7017)
Страница 1 из 2 12 Последняя
  1. Опытный Аватар для sof
    • Регистрация: 17.02.2013
    • Сообщений: 262
    • Репутация: 48
    • Webmoney BL: ?
    Золотой пост
    Вообщем не так давно столкнулся с такой проблемой что при копировании кошельков Webmoney в буфер обмена у меня подставлялись вместо моего кошелька на кошельки афериста. Согласитесь интересно звучит? Дело в том что речь пойдет о неком вирусе (троянчике)
    Как говорят все гениальное – просто. Простой вирус. Висит в памяти. Подменяет в буфере обмена ваш кошелек на свой. Webmoney и Яндекс-деньги

    Долго искал решение как избавится от этого вируса и вот решил поделится с вами. А вдруг кому то и пригодится.

    Так вот - это троянская программа написана на Basic (не сжата не зашифрована) но при этом косит по системный файл. При запуске может выполнять такие действия.
    - Создает копию своего файла в папке Windows имя исполняемого файла соответствует имени под которым был запущен троян на компьютере юзера.
    - Регистрируется в автозапуске, ключ CurrentVersionRun, параметр System
    - после запуска скрытно остается в памяти и мониторит буфер обмена на наличие кошельков Webmoney или Яндекс деньги.
    Таким образом принцип действия троянской программы что при совершении платежа часто номера кошельков копируются в буфер обмена и пользователь обычно не проверяет многозначный номер после его вставки. Троянская программа подменяет ваши кошелек на кошелек создателя троянской программы. В итоге получаете деньги не вы а мошенник.

    А теперь самое интересное. Как этот вирус попал если вы пользуетесь самым современным антивирусом (хоть это Касперский, хоть др. Веб, Аvira и.т.д) почему он не обнаружил его?
    Дело в том что этот вирус не несет какого то вреда вашему компьютеру (он не размножается и т.д) он просто весит в автозапуске и мониторит буфер обмена на наличие кошельков. Он не так распостранен в сети поэтому его так сложно обнаружить. Поэтому его и нет в вирусных базах антивирусов и попасть он может без труда на ваш компьютер

    И так теперь ближе к сути я уже говорил что я стал жертвой такой вот вредоносной программы и я решил довести дело до конца и избавится от него. Вообщем все мои кошельки (гривневые, доларовые, евро, росские) при копировании в буфер заменялись на аналогичные вот этого владельца https://passport.web....d=172430765886 я как и любой другой написал на него абузу.
    Далее шла речь о том как найти этот вирус. Вобщем погуглив день второй я наткнулся на такую вот программу http://www.neuber.co....f=filecheck.ru
    Описание писать не буду зайдете и почитаете. Кратко скажу что программ ищет программы и файлы которые могут нанести вред вашему компьютеру.

    Нажмите на изображение для увеличения.  Название:	Snymok333_800.jpg  Просмотров:	80  Размер:	97.5 Кб  ID:	8393

    Скачиваете программу и запускаете ее.
    Программа автоматически найдет программы и поставит им приоритет по опасности (смотреть на меню оценка)
    Как видим у нас есть подозрительный файл с названием services.exe который расположен в директории c:\Windows - это не правильное размещение этого системного файла (а настоящий файл должен находится \Windows\System32) проверьте обязательно чтобы он там был. (хотя он там и есть)

    Что делаем дальше, нам нужно быть увереным что это именно тот файл который нам и подменяет кошельки берем файл который мы нашли в директории c:\Windows и в этой программе и нажимаем удалить (но не удаляем а перемещаем в карантин) Делается это для того чтобы убедится что это он.
    После того как переместили файл в карантин, запускаем свой кипер копируем кошелек в буфер и пробуем вставить. И о чудо кошельки вставляются именно наши а не этого мошенника.

    Теперь осталось нам удалить этот файл из карантина и радоваться жизни.

    Вот в принципе и все (такой вот краткий мануал). Может кому то и пригодится случаи бывают разные.

    P.S. проверяйте номер кошелька перед осуществлением финансовых операций.
    • 27

    Спасибо сказали:

    ASko(05.08.2013), Avot(17.02.2013), azeka(17.02.2013), blazhnov(18.02.2013), bljaher(15.07.2013), chudikos(18.02.2013), CuxpecT(21.03.2013), dima-kruger(17.02.2013), Gaya(18.02.2013), hammer8(05.08.2013), Kipwpartner(18.02.2013), lindroos(19.02.2013), MiksInc(17.02.2013), netactor(27.12.2014), nikita_m(06.11.2013), OKyJIucT(17.02.2013), Orcstation(15.07.2013), pingvincible(21.02.2013), pinskiy(18.02.2013), piton2k(27.10.2016), ram32(18.02.2013), roka(15.07.2013), TbIKBA(18.02.2013), votren(17.02.2013), zhurik(05.08.2013), Вадим(18.02.2013), Гендальф Серый(17.02.2013),
  2. You shall not pass. Ага. Аватар для Гендальф Серый
    • Регистрация: 02.02.2013
    • Сообщений: 1,184
    • Репутация: 1512
    • Webmoney BL: ?
    Спасибо за чёткое ТЗ :)

    Нет, на самом деле инфа очень полезная. Спасибо.
    • 0
  3. Опытный Аватар для sof
    • Регистрация: 17.02.2013
    • Сообщений: 262
    • Репутация: 48
    • Webmoney BL: ?
    Гендальф Серый, да знаете иногда бывает что даже обратится не к кому а проблема неожиданно появляется вот и приходится набивать шишки и искать пути решения своих проблем:)
    • 0
  4. You shall not pass. Ага. Аватар для Гендальф Серый
    • Регистрация: 02.02.2013
    • Сообщений: 1,184
    • Репутация: 1512
    • Webmoney BL: ?
    sof, на самом деле могу сказать как сертифицированный системный администратор, что даже Касперский или платны аваст не даст вам 100% защиты. Если кому-то очень захочется, что вас крякнут/сломают/нюкнут. Это касается и рабочих машин, и серверов. И, конечно, как написал ТС нужно не то что мониторить каждый процесс, а знать его в лицо, иначе о безопасности говорить вообще не стоит.
    Я, например, не пользуюсь антивирусом вообще, ибо досконально знаю, что я могу схватить, где я могу это схватить и как мне это убрать. В течении 2 минут.
    • 0
  5. shit happens Аватар для Avot
    • Регистрация: 17.12.2012
    • Сообщений: 407
    • Репутация: 167
    Благодарю за информацию. А не пробовали в антивирусные компании написать на предмет внесения этой заразы в базы?

    кстати, ссылка не работает - обрезалась/сократилась

    Цитата Сообщение от sof Посмотреть сообщение
    наткнулся на такую вот программу http://www.neuber.co....f=filecheck.ru
    P.S. обе ссылки не работают
    Последний раз редактировалось Avot; 17.02.2013 в 15:54.
    • 0
  6. Опытный Аватар для sof
    • Регистрация: 17.02.2013
    • Сообщений: 262
    • Репутация: 48
    • Webmoney BL: ?
    https://passport.webmoney.ru/asp/Cer...d=172430765886 атестат мошенника
    http://www.neuber.com/taskmanager/ru...f=filecheck.ru ссылка на софт с помощью которого избавился от этой заразы
    • 0
  7. shit happens Аватар для Avot
    • Регистрация: 17.12.2012
    • Сообщений: 407
    • Репутация: 167
    Не нравится мне эта история...

    Во-первых, вот:
    Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 1 сообщение(ий)):
    У вас нет прав чтобы видеть скрытый текст, содержащийся здесь.


    Во-вторых, у "мошенника" ни одной претензии на WMID

    В третьих, реф-ссылка на платную прогу.

    Смахивает на развод.

    Я ошибаюсь?
    • 0
  8. Опытный Аватар для sof
    • Регистрация: 17.02.2013
    • Сообщений: 262
    • Репутация: 48
    • Webmoney BL: ?
    Ребята это не развод. Это ссылка с которой я качал эту прогу к тому же посмотрите прога же общего пользования (понятное дело что у платной и функционал побогаче но этой вполне достаточно чтобы решить проблемы). А WMID заблокирован у меня формальный атестат и написать претензию атестату с персом просто не было возможности точнее запрещено. На момент когда этот атестат мошенника был еще не заблокирован у него BL был 8
    Последний раз редактировалось sof; 17.02.2013 в 16:41.
    • 0
  9. Banned
    • Регистрация: 18.08.2012
    • Сообщений: 405
    • Репутация: 109
    Цитата Сообщение от Avot Посмотреть сообщение
    Во-вторых, у "мошенника" ни одной претензии на WMID

    В третьих, реф-ссылка на платную прогу.

    Смахивает на развод.

    Я ошибаюсь?
    .. да BL =0 , что невозможно при перс аттестате, т.е бл обнулили, но дело не в этом, странно что лил сразу на перс человек, обычно с таких тем льют кэш через кошельки-прокладки, причем многократно гоняя деньги, и не рискуют персом.
    • 0
  10. Дипломник Аватар для uBuster
    • Регистрация: 03.02.2013
    • Сообщений: 179
    • Репутация: 41
    Автору спасибо за информацию. Давно уже такой вирус бегает, сам не пойму почему в лаюоратории Касперского не заносят в базу. А на счет кошельков. Надо бы посмотреть снифером на этот вирус в виртуальной машине и выяснить какой там алгоритм. То что нет притензий на кошельке вовсе не странно. Это может быть сеть кошельков и подменяется буфер рандомным.

    Тоже иногда ставал жертвой вирусов. Наверно не стоит 100 процентов пологаться на антивирус, в некоторых случаях нужно действовать по интуиции. Есть подозрения на счет порядочности софта, автора, того или инного файла - лучше не запускать.
    • 0
Страница 1 из 2 12 Последняя

Похожие темы

Темы Раздел Ответов Последний пост
Владельцев электронных кошельков ограничили в суммах переводов
Оффтоп и свободные темы 34 06.10.2012 18:39
Подскажите сервис в Украине для пополнения вебмани через смс
Прочее 9 20.02.2012 22:21
Яндекс деньги на Вебмани
Обмен 4 19.10.2011 22:43
Кто как закидывает деньги в вебмани?
Прочее 34 13.09.2011 12:02
Кто как закидывает деньги в вебмани?
Вопросы от новичков 4 02.08.2011 12:39

У кого попросить инвайт?

Вы можете попросить инвайт у любого модератора:

Информеры