http://indrik.livejournal.com/3260.html

Выглядит это так: после запуска WM Keeper автоматически "что-то" начинает очень быстро гулять по опциям в меню кипера, после чего кипер закрывается. При попытке последующего запуска кипера его не получается запустить - вредоносная программа портит файл с ключами и он становится непригодным.

Кипер удается запустить при использовании сохраненной на другом носителе копии файла с ключами. В результате обнаруживается, что испорчен файл с кошельками и система начинает восстанавливать информацию о состоянии кошельков и последних операциях, обращаясь к серверу Webmoney. Выясняется, что из кошелька WMZ исчезла большая часть находящихся там денежных средств. При просмотре истории операций оказывается, что они были переведены на указанный мной выше в жалобе в Арбитраж WM кошелек, а по времени это произошло как раз в момент того самого запуска кипера в первый раз, после чего он закрылся. Также обнаруживается, что изменились настройки безопасности кипера: отключена опция "Подтверждать выполнение операций".

Затем я устанавливаю на компьютер WM Keeper 2.3.0.1 вместо старой версии 2.3.0.0
В результате после активации кипера опять "что-то" начинает бегать по меню программы, и я поняв, что происходит, перезагружаю компьютер кнопкой Reset.

Опять выясняется, что файл с ключами испорчен. Использую еще одну копию, обнаруживаю, что пропали деньги и из кошелька WMR, которые были переведены на кошелек, принадлежащий тому же самому WMID, которому принадлежит кошелек, на который увели WMZ.

В целях безопасности меняю файл с ключами и пароль (то есть генерирую новую пару ключей с новым паролем), сохраняю ключи на нескольких дискетах и устанавливаю опцию "Подтверждать выполнение операций" и опцию активизировать каждый раз кипер при каждом подключении.

После чего в течение нескольких часов разбираюсь в чем тут дело.
Вот что мне удалось выяснить:

Пункт первый. Несмотря на то, что в настройках безопасности кипера стоят опции активации кипера при каждом подключении и подтверждения выполнения любых операций, при запуске кипер не требует активации. И никаких кодов активации на мой e-mail не приходит. А во-вторых выясняется, что при переводе денег на другой кошелек (я, разбираясь в чем дело, переводил остатки денежных средств на кошельки друга, которого тоже предупредил о опасном вирусе) кипер не требует подтверждения выполнения операций!
И это несмотря на то, что соответствующие настройки безопасности выглядят включенными! Вредоносная программа делает с кипером что-то нехорошее.

Пункт второй. Также после каждого (каждого!) запуска кипера и подключения портился используемый для подключения файл с ключами, находящийся на жестком диске или дискете. Нужно было каждый раз его заменять на неиспорченный или использовать копию на другом носителе (а потом заменять и ее на неиспорченную). Файл с кошельками тоже каждый раз портился и его приходилось удалять.

Пункт третий. Алгоритм, по которому определяется выводимая с кошельков сумма, довольно прост: это целая часть баланса кошелька минус сотая часть от целой части баланса (необходимая для оплаты комиссии Webmoney). Из имевшихся в моем WMZ кошельке 12.17 WMZ украли 11.88 (осталось с учетом комиссии 0.19), из 1.27 WMR украли 0.99 WMR, оставив на кошельке с учетом комиссии 0.27 WMR. При балансе меньше 1 WM попыток вывода средств с кошелька не происходит. Остатки средств меньше 1 WM у меня не исчезали из кошельков.

Пункт четвертый. Никаких других подключений к моей учетной записи на сервере WM Transfer, кроме как с моего компьютера и моего IP, осуществлявшихся лично мной, нет. Так записано в журнале подключений, хранящимся на сервере WM Transfer.

Пункт пятый. Вредоносная программа не крадет файлы с ключами. Этого, собственно говоря, и не требуется.

Пункт шестой. Вредоносная программа портит файлы с ключами и файлы с кошельками, делая их непригодными для дальнейшего использования. С целью заметания следов, очевидно.
------------------

И очень правильный совет оттуда же:

не пробовал ставить файлам с ключами/кошельками/настройками атрибут read-only? Это незамысловатое действие нередко обламывает зубы многим вредоносным прогам.

Архив:

Nov2008   Oct2008   Sep2008   Aug2008   Jul2008   Jun2008   May2008   Apr2008   Mar2008   Feb2008   Jan2008   Dec2007   Nov2007   Oct2007   Sep2007   Aug2007   Jul2007   Jun2007   May2007   Apr2007   Mar2007   Feb2007   Jan2007   Dec2006   Nov2006   Oct2006   Sep2006   Aug2006   Jul2006   Jun2006   May2006