FAQ

Степан Ильин aka Step

Хакер, номер #088, стр. 088-122-1

(faq@real.xakep.ru)

Задавая вопрос, подумай! Не стоит мне посылать вопросы, так или иначе связанные с хаком/крэком/фриком - для этого есть hack-faq (hackfaq@real.xakep.ru), не стоит также задавать откровенно ламерские вопросы, ответ на которые ты при определенном желании можешь найти и сам. Я не телепат, поэтому конкретизируй вопрос, присылай как можно больше информации.

Q: Беда! Исчезли деньги с кошелька Webmoney. Пускай сумма несущественная, но факт остается фактом. Денег нет. Я не работал с этой платежной системой уже несколько недель, но в истории платежей указано, что несколько дней назад был осуществлен перевод денег на другой кошелек. Как это вообще могло получиться? Использую файрвол и антивирус, своевременно устанавливаю все обновления для винды. А в настройках Webmoney Keeper активирована привязка к IP.

A: Если честно, то увести деньги с WM-кошелька - не такая уж большая проблема. В публичном доступе подходящего инструментария, конечно, не найти, но будь уверен, что в приватных закромах подобного добра хватает. Подцепить заразу сейчас проще простого. Серфишь инет и никого не трогаешь, а вместе с тем твоя тачка легко может быть заражена через еще неопубликованный баг в Internet Explorer’е. Дальше — дело техники. Зараза может легко замаскироваться и делать в твоей системе все, что заблагорассудится, в том числе и мухлевать с WebMoney Keeper’ом. И не надо делать глупости, пытаясь переименовывать или переносить его исполняемый файл. Не поможет! В общем случае трояну он даже не понадобится. Вместо этого он легко инициализирует его запуск с помощью ActiveX-элементов, открыв в браузере страницу со следующим содержимым:

<OBJECT ID="WMAcceptor"

CLASSID="CLSID:463ED66E-431B-11D2-ADB0-0080C83DA4EB" CODEBASE=http://download.webmoney.ru/WMAcceptor.CAB#version=1,0,0,31

WIDTH=76

HEIGHT=58>

<PARAM NAME="nState" VALUE=2>

</OBJECT>

После выполнения данного кода пользователю тут же будет выдано сообщение c предложением запустить программу для управления кошельками. С помощью API-функций троян элементарно может скрыть это окно от пользователя и согласится на запуск программы. Этот же прием используется для отправки денежных средств с кошелька жертвы. В качестве защиты от подобной гадости Webmoney Keeper предложит ввести трехзначное псевдослучайное число, отображаемое на экране. Проблема лишь в том, что любая мало-мальски рабочая OCR-библиотека легко обрабатывает изображение и успешно распознает цифры.

Q: Говорят, что даже при использовании SOCKS можно выдать себя из-за DNS-сервера. Это правда?

A: Каждый раз, когда в адресной строке браузера ты набираешь www.xakep.ru, твой компьютер обращается к Domain Name серверу, чтобы выяснить его IP-адрес. Если ты хочешь обратиться к www.xakep.ru анонимно, то использовать свой родной провайдерский DNS-сервер будет не самой лучшей идеей. Во-первых, ты банально сдашь себя своему провайдеру: любой анализ логов может показать, что ты нередко посещаешь, к примеру, хакерские и кардерские форумы. Во-вторых, ты можешь сдать себя непосредственно удаленному серверу. Проведем эксперимент: пропиши в браузере анонимную прокси и зайди на сайт www.dnsstuff.com/tools/aboutyou.ch. Если прокся оказалась действительно анонимной, то в графе «Your IP» ты увидишь ее адрес. Но это половина беды. Опускайся до конца страницы и смотри на поле «Your DNS Server». Удивился, да? То-то и оно, что в большинстве случаев там будет DNS твоего любимого прова. Попался!