Эта статья для всех, не важно Вы столкнулись с кражей денег или нет, поверьте — это важно для Вас в любом случае.

Буду говорить как пострадавший и как аналитик одновременно. Для тех, кто не в курсе: где-то месяца два от роду гениальному трояну (по-другому и не скажешь), который уводит честно заработанные деньги из системы Webmoney обычных пользователей, то есть нас с Вами.

Недавно я также подвергся «атаке», если можно так сказать этой нечисти. Действительно вирус/троян написан очень грамотно потому как не определяется практически всеми известными антивирусами и другими антишпионскими программами (например Spyware Doctor, которым я до этого момента успешно пользовался).

Итак, разберемся во всем и по порядку?
О том, как избежать кражи денег, что делать если у Вас украли Webmoney и о многом другом далее.

Украли Webmoney

Как происходит заражение?

Ходите Вы спокойно по сети, даже по знакомым Вам сайтам, я например ходил по сайту Torrents.ru, ныне Rutracker.org — огромный архив файлов. Смотрите скриншоты к примеру (как было у меня) на сайте-хранилище картинок (Fastpic.ru в моем случае) и тут ненароком к Вам на машину подселяется нечто, что абсолютно невидимо для антивируса, фаервола и других подобных программ. Вы ходите дальше, ничего не подозревая, а в этот момент Ваши ключи от программы Webmoney ищутся на вашем жестком диске и передаются злоумышленнику. Это один из вариантов, самый безобидный. Как видно из темки «Украли Webmoney» все даже ещё более продуманно, чем кажется.

Можно подхватить троян даже на известном сайте, не стоит думать что они водятся только на порно сайтах или варезниках. Думаю создававшие этот троян ориентировались именно на посетителей крупных сайтов.

Оказывается этой заразе ваш файл ключей и ваш E-mail на который обычно приходит подтверждение на смену оборудования совершенно не нужны злоумышленнику — этот троян собирает как-бы «образ» вашей системы и позволяет запустить программу Webmoney Keeper на компьютере и злоумышленника. Как это конкретно происходит я обьяснить не могу, это высший пилотаж — либо найдена серьёзная дыра в самой программе, не совсем понятно. Но смысл в одном: никакая защита не действует. Антивирусы, фаерволы, системы защиты самой Webmoney — все это оказывается бесполезным. Но на данный момент антивирус Касперского все же видит троян, но это не факт — он может видеть лишь одну из модификаций. Высший пилотаж написания подобных вредоносных (для нас с Вами, а для злоумышленников — наоборот) программ — это невидимость для установленного программного обеспечения — антивирус, фаервол и другие программы типа Ad-Aware, Spyware Doctor и т.д.

Как защититься от взлома WebMoney?

Исходя из всего вышесказанного я думаю Вы поняли насколько все серьёзно, поэтому прямо сейчас, не дочитывая статью до конца пожалуйста проверьте папку программы Webmoney. По умолчанию она находится в C:/Program Files/Webmoney. Можете проверить ее антивирусом. Но этого недостаточно.

Троян собирается из нескольких компонентов, главный из которых — dll файл, которым подменяется системный файл, находящийся в Windows/System32 — благодаря этому файлу злоумышленник и получает доступ к киперу.

Насколько я знаю по своему опыту, кроме этого файла есть ещё 1 или 2 запускающих файла, с расширениями .exe — если вдруг ни с того ни с сего при серфинге в интернете у Вас вылезет ошибка какого-либо файла .exe, который не относится к системе — это именно этот троян/вирус!
Проверить не сложно — просто введите в Google имя файла и узнайте что это такое. В моем случае поиск вообще не дал результатов!

По поводу dll файла: поищите этот файл в директории Webmoney: его имя inetmib1.dll. Если Вы найдете такой же файл в папке System или System32 — это родной файл Windows. Его удалять не стоит.

Внимание! Обычный поиск Windows может не найти файл inetmib1.dll!

Как найти inetmib1.dll?

Для того, чтобы точно убедиться, что этого файла нет в директории с программой, скачайте программу Far Manager — это очень старый, но хороший файловый менеджер. Он поможет увидеть файл даже если он скрывается от стандартных средств Windows. Я сам был удивлен, когда обычным поиском Windows файл не нашел, но при запуске Far файл был найден. Ссылку на последнюю версию программы я предоставлю ниже:
Скачать Far Manager
Заражение папки Webmoney трояном - вид из Far

Что делать если файл inetmib1.dll был обнаружен в директории с программой?

inetmib1.dll в папке Webmoney

Немедленно удалить файл и просканировать всю систему на вирусы. Лучше всего будет попросить техподдержку систему Webmoney заблокировать Ваш WMID и кошельки на вывод средств до выяснения обстоятельств и пока Вы не вычистите все вирусы из системы. После этого нужно поменять пароль WMID и заново сгенерировать файл ключей. Это как минимум. Кроме этого желательно выполнить все предлагаемые требования безопасности самой системы Webmoney. Это как активация на телефон так и блокировка по IP.

На данный момент очень много людей пострадали от взлома WMID и воровства денег. Сами Webmoney благодаря нашим усилиям и набитым шишкам обещает c 15 апреля ввести ограничение на вывод средств — только на реальные ФИО владельца аттестата Webmoney.

С 15 апреля 2010 года вступают в силу новые правила при использовании системы WebMoney Transfer для обменных операций с финансовыми инструментами.

Существенным изменениям подверглись большинство требований системы Webmoney для обменных пунктов, занимающихся обменов WM на другие валюты. В большинстве своем подвергнуты изменениям пункты по идентификации личности пользователя системы, создавшего запрос на обмен.
Озвучен запрет на обмен WM Валют в счет третих лиц:

1.4. Обменному пункту запрещается:
осуществлять обменные операции в адрес лица не участвующего в обмене (в адрес третьих или неустановленных лиц);

Это пока касается только обменников, так что полностью застраховаться все равно не удастся. Можно ещё 100 способами увести деньги — например купить пополнение счета, перевести деньги на телефон (билайн насколько я знаю в основном), купить товар в интернет магазине или перевести на чужой кошелек в системе Webmoney (с этим как раз проще если успеть отписать в саппорт или арбитраж).

Кстати, на массовой истерии по поводу взлома Webmoney тоже решили сделать деньги, вот пример письма, которое приходило людям:


06.03.10 23:54 304871540375: Здравствуйте! Вас приветствует служба технической поддержки WebMoney. В связи с массовыми кражами WM – киперов версий 3.8.0.0 и 3.9.0.0 Вам необходимо скачать Webmoney keeper версии 3.9.0.0 build 2.648 от 06.03.2010! Скачать Новую версию Кипера Вы можете с официального сайта: http://webnnoney. ru/download/wmk_ru.exe Все эти новые меры безопастности созданы для предотвращения кражи средств. Установка приложений обязательна для всех пользователей WebMoney!

Это автоматическое сообщение отправленное роботом, отвечать на него не нужно

И как Вы думаете, в чем здесь подвох? Уже увидели? Если нет — посмотрите ещё раз.
Заменен адрес ссылки с Webmoney.ru на webnnoney.ru.
Я такое встречаю не в первый раз. Похищают пароли и другие личные данные с помощью подобных фейков уже давно, например вместо сайта Вконтакте.ру мошенники уже перерегистрировали огромное количество сайтов, типа vkonitakte.ru, vkomtakre.ru и так далее — расчет на невнимательного пользователя.
Не попадайтесь на подобные уловки!

Далее я приведу собственные рекомендации по безопасности работы с системой Webmoney исходя из собственного печального опыта — ведь деньги у меня все же увели и не маленькие. Все следующие выводы сделаны после обдумывания и анализа собственных ошибок.

Как теперь «безопасно» работать в системе Webmoney?

1. Всегда нужно помнить, что в идеальной безопасности Вы никогда не будете, сколько бы антивирусов и т.д. у Вас не было.
2. Все же просто необходимо иметь антивирусное программное обеспечение + антишпионские и антитроянские программы (аналоги таких программ: Ad-Aware, Spyware Doctor и другие) а также фаервол (пример: Outpost Firewall) и всегда иметь их последние версии и обновления баз.
3. Никогда не держать в кошельках системы Webmoney крупные суммы. Только до определенного лимита, который Вы сами себе и поставите. Такую сумму, которую не страшно будет потерять и необходимую только для оплаты счетов и необходимых расчетов.
4. Можно использовать отдельную систему для денежных операций, установленную на другом жестком диске, которая больше не для чего не будет использоваться, для интерет серфинга особенно. Либо иметь отдельный компьютер или ноутбук, эффект тот же.
5. Используйте все меры безопасности, которые предлагает сама система Webmoney, чтобы никогда не высвечивалось окошко «есть замечания по поводу безопасности».
6. Не устанавливайте никаких программ, которые предлагает Вам «непонятно кто непонятно откуда». Пример подобных программ: так называемые «антивирусы», после установки которых уж точно систему прийдется обрабатывать настоящим антивирусом. Уверен Вам хоть раз, но приходила ссылка «ваш компьютер заражен, установите бесплатный антивирус» — никогда не доверяйте ничему подобному.
7. Желательно иметь лицензионную операционную систему и постоянно ставить новые обновления и заплатки для нее.
8. Не ходите по сайтам сомнительного содержания. Если случилось пройтись — не поленитесь просканироваться после такого «похода». Особенно всегда обращайте внимание на диск C — системный.
9. Скачивайте и устанавливайте все программы, которыми пользуетесь, особенно Webmoney только с официальных серверов.

Это основные рекомендации, которые я могу дать Вам.
Но всегда стоит помнить, что самое главное — это именно Ваша осторожность, аккуратность и постоянная бдительность. Ваша, а не антивирусных программ и операционной системы. Потому что как показывает опыт — защититься не всегда и не так просто…

Немного добавлю по поводу того, что делать, если деньги уже украдены.
Естественно, заблокировать кошельки и WMID — думаю это понятно. Далее,
как отвечают на подобный вопрос представители Webmoney — идти и писать заявление в правоохранительные органы. Если деньги выведены не на кошелек Webmoney — их юрисдикция на этом заканчивается. Если на кошелек — здесь проще, можно заблокировать средствами самих Webmoney и разобраться в ситуации. Как было со мной и многими другими людьми — деньги выведены на счет в банке. И банк и Webmoney в данном случае говорят одно: мы будем содействовать и предоставим все возможные материалы при запросе из соответствующих органов. Нужно не бояться идти и писать заявление, даже если деньги заработаны незаконным путем (Sape, блогун и множество других способов заработка — это незаконный заработок, потому как по закону нужно открыть ЧП и платить налоги с каждого платежа, но это уже совсем другая история и возможно отдельная статья).

Вот официальный текст ответа Webmoney:

Если в настоящий момент у Вас отсутствует доступ к киперу (не подходит пароль или фай ключей, и Вы утверждаете, что ничего подобного не делали), то вероятнее всего кто-то получил доступ к Вашему WMID, при этом не исключено, что у Вас на компьютере вирус-троян.
Вам следует проходить стандартную процедуру восстановления доступа — http://key.wmtransfer.com/
Для того чтобы найти вирус-троян на вашем компьютере, Вы можете поступить следующим образом, см. http://virusinfo.info/showthread.php?t=1235
Кроме того, рекомендуется внимательно ознакомиться с содержанием https://security.webmoney.ru/asp/default.asp и сайта http://owebmoney.ru

Вам следует обратиться в милицию с заявлением о совершении в отношении Вас
противоправных действий.

Для этого Вам необходимо:

1. Обратиться в ОВД по месту Вашего жительства (найти ближайшее ОВД в г.
Москве можно по ссылке http://petrovka38.ru/rus/map/index.wbp );
2. Не забыть взять с собой паспорт;
3. Написать заявление на имя начальника ОВД, в которое Вы обратились;
4. Получить талон-уведомление о регистрации Вашего заявления в журнале КУСП;
5. Рекомендовать дежурному по ОВД (либо лицу, принимавшему у Вас заявление)
обратиться для разрешения вопросов, связанных с Вашим заявлением, в
подразделения Специальных Технических Мероприятий.

В заявлении необходимо максимально точно указать всю имеющуюся у Вас
информацию: номер кошелька, Ваши контактные данные, подробную информацию о
платеже. По возможности приложите документы, подтверждающие зачисления на Ваш
кошелек.

Также следует приложить распечатку всех IP-адресов, с которых заходили в
Кошелёк. Получить историю входов в Кошелёк можно здесь https://security.webmoney.ru/asp/default.asp, опция “Журнал IP”.
Дополнительную имеющуюся у нас информацию, касающуюся данного дела, мы предоставим
правоохранительным органам по запросу.

Специально для тех, кто считает, что правоохранители не способны раскрыть подобные дела видео, которое позволяет более оптимистично смотреть на подобные вещи — все же шансы раскрыть такие преступления есть, пусть и не столь велики. Нужно самому собирать большинство информации — тогда шанс поимки гораздо больше увеличится. Видео датировано маем 2009 года, но думаю вполне актуально к этой статье.

В конце статьи я приведу список тем на различных ресурсах по поводу кражи Webmoney, возможно Вы почерпнете из них нечто полезное для себя, кроме уже вышесказанного мной.
Советую ознакомиться с этими темами по поводу кражи Webmoney:

У кого украли Webmoney и доступ к ним — давайте разберемся наконец-то?
Украли Webmoney и сменили пароль
Дерзкое ограбление в WebMoney: все рубежи защиты преодолимы
Как защититься от взлома Webmoney?
Утерян контроль над WMID.

Буду рад, если статья окажется Вам полезной. Никому не желаю попасть в подобную ситуацию.

P.S. Подпишитесь на новые статьи моего блога, авось что ещё интересное будет почитать? :)

EXMO affiliate program