Столкнулся с такой ситуацией, что зайдя в кипер увидел, что денег на балансе нет(ну или почти нет). Сразу начал просматривать список операций кошелька. Естественно, деньги перевели не на другой кошелёк WebMooney, а на "единую карту билайн" и на пополнение счёта мобильного телефона. Сразу же изменил пароль и т.д. и т.п., но ещё увидел во входящих:
Внимание!
В ответ на попытку подключения Вашего кипера (ip: хх.хх.хх.хх) с неактивированного ранее оборудования, на Ваш регистрационный e-mail или телефон отправлен код активации.
Вот собственно и всё. Сумма на кошельке была несущественная(чуть более 1000 WMR), но всё же. Хотелось бы узнать, встречались ли вы с таким или нет?
И ещё. Немного наивный вопрос, можно ли вернуть средства?
Да знаю, я накосячил и лохонулся. Но на ошибках учатся. :)
Реально деньги сняли?
158
Тоже попадал в такую ситуацию.
23
Знаю как помочь.
10
Тут ничем не поможешь.
79
Сейчас тоже у кого-нибудь сниму копейку. :)
75
Раздел: Интернет, проголосовало: 345, последний комментарий: 01.09.2010 15:17
Вывод - активацию кипера делай на телефон, а не на мыло. Шансов у взломщиков будет на порядок меньше. Ну разве что еще и телефон украдут вместе с паролями и ключами..
Первое что приходит в голову - троян (помнится вроде вы в каком-то из постов писали что пренебрегаете антивирусами). А вообще вариантов угона файлов ключей больше чем один и тут только гадать можно. Вообще лучше конечно на вебмоней поставить защиту почти на максимум (привязка к ip слишком радикально). Мне немного непонятно про телефон. Защиту с посылкой кода на телефон вы устанавливали или взломщик? Если вы - то конечно очень интересно как это они провернули. Если они - то как вы попали в свой акк?
Не первый раз!! На форуме дохера таких случаев!! Ты мини не присоединял?? Просто у тебя троян и пока тебя нет, то тупо кто то может использовать всё твоё ПО на своём компе!! Поставь хотя бы что бы активацию на телефон присылали, а не на мыло!! Переустанови винду с полным форматом и не в ходи в нет ВООБЩЕ пока антивирус хороший не поставишь!!
Осторожно, Троян ворует WebMoney
Внимание всем, кто польузется Webmoney. В Сети появился хитрый троян, который ворует деньги ( переводит деньги на другой кипер).
подробности далее...
Сам троян - это файл inetmib1.dll
Данный файл есть в Windows по пути C:/windows/system32 и C:/windows/system32/dllcache. (Это системный нормальный файл)
Но троян создает файл с таким же именем по другому любому пути.
Как лечим:
Удаляем любой файл - inetmib1.dll находящейся вне директории C:/windows/system32 и dllcache, и делаем reboot компьютера.
На данный момент он ловится Касперским и Авирой. Доктор Web - его не видит.. NOD32 - протестить не было возможности...
файл inetmib1.dll - это нормальный модуль винды, используется много где для работы с сетью, это вообще часть SNMP
функции этого виндо-модуля используется разработчиками для работы с сетью, а вот из-за несовершенство мелкомягких, ситуация когда софт пытается подгрузить библиотеку, винда выдает ему первый найденный вариант, какраз для этого ЛОЖНЫЙ файлик с этим именем кладется прямо в папочку программы, т.к. это первое место поиска для библиотек
а тот что в system32 - 99,9% - нормальный, нужный файл, не трожте его, не будьте нубами.
На данный момент он не ловится Каспером, если он имеется. Версия каспера последняя. Кто то подцепил вирус и зацепило эту dll, теперь ботинок заявляет что крадет деньги с иго кошелька, ну извини, если ты дурак и ламер у тебя так и будут деньги красть.
Пару слов о - inetmib1.dll. В документации Microsoft сказано, что это расширение для SNMP агента. Если правильно обращаться к этой DLL-ке, то мы сможем получить всю, необходимую нам информацию, а так же многое многое другое. Всё, что нам нужно сделать - это съэмулировать расширяемого агента Windows и вызвать DLL с правами OID.
Как общаться с inetmib1.dll
Чтобы приступить к использованию DLL-ки, для начала необходимо вызвать функцию SnmpExtensionInit(). Эта функция имеет 3 параметра - ссылка на нулевое время, обработчик ловушки и идентификатор объекта для получения поддерживаемого представления. Для более полного понимания этой функции и её старшего брата SnmpExtensionInitEx() необходимо более детальное исследование snmp расширения DLL. Здесь мы не будем угляться в это исследование, а ограничимся тем, что в MibII эти значения можно принять по умолчанию.
Затем мы делаем вызов Query через запрос GetNext, и повоторяем вызов до тех пор, пока функция не перестанет возвращать нам ip адреса. Но для этого передадим в функцию VarBind, содержащую: iso.org.dod.internet.mgmt.mib-2.ip.ipAdd
rTable.ipAddrEntry.ipAddress (т.е. 1,3,6,1,2,1,4,20,1,1) в каждом вызове.
Если мы имеем 3 IP адреса 205.5.3.1, 205.5.3.3 и 205.5.3.6, то первый раз мы получим обратно 1,3,6,1,2,1,4,20,1,1,205.5.3.1. Второй - 1,3,6,1,2,1,4,20,1,1,205.5.3.3 и третий - 1,3,6,1,2,1,4,20,1,1,205.5.3.6. И, наконец, четвёртый раз возвращаемое значение будет выглядеть как 1,3,6,1,2,1,4,20,1,2 либо как 1,3,6,1,2,1,4,20,1,3. что будет сигнализировать о том, что функция больше не может получить ip адресов.
P.S. Если это троян, то он находится именно в папке Webmoney!!!
почитай, только аккаунт не удаляй после прочтения...у меня когда 50 баксов стыбзили - 2 мес. не заходил на вммэйл...потом помнился, за это время был куплен трупом ;) шикарным рефером с шикарными бонусами :) всё что ни делается, всё к лучшему, не вешай нос...