Голая правда о Webmoney
Какую информацию собирает о нас система WebMoney, можно ли ей доверять? Просидев за дизассемблером всю ночь напролет, пришел к весьма неутешительным выводам, которых придерживаются и другие пользователи. Как обезопасить себя и обеспечить максимальную анонимность?

Webmoney
Популярная платежная система WebMoney реализована в виде двух независимых программ: Keeper
Classic и Keeper Light, каждая из которых имеет свои достоинства и недостатки. Keeper Classic
представляет собой обычное Windows-приложение, требующее инсталляции на компьютер.
Вот что об этом говорят некоторые пользователи: «Это — поделка от WebMoney, в которую не-
известно что зашито, может, и троян. И даже если его там нет, это творение небезупречно:
пару раз ставил на несколько компов, так они стали хромать на обе ноги, вплоть до BSOD. На
других же компах работа была нормальной. Следовательно, эта программа недоработана
и ведет себя непредсказуемо».
Но прикладное приложение, которым пытает ся казаться Keeper Classic,
не может вызывать BSOD, поскольку это прерогатива драйверов, работающих на уровне ядра. Значит, Keeper
каким.то образом проникает в ядро, причем не совсем легальным путем (отсюда конфликты и
BSOD). Во всяком случае, я не видел никакого запроса на установку драйверов при инстал-
ляции, и никаких драйверов не появилось в каталоге WINNT \ System32 \ Drivers, где им и поло-
жено быть, но… запуск утилиты R-Studio, восстанавливающей удаленные файлы, пока-
зал наличие созданного и тут же удаленного файла winio. sys, ссылка на который обнаружи-
лась в компоненте Keeper'a: WMClient. dll. Судя по названию, этот драйвер открывает доступ к
портам ввода / вывода с прикладного уровня, что создает нехилую дыру в системе безопас-
ности, не говоря уже о том, что некорректное обращение с портами чревато не только голу-
быми экранами смерти, зависанием компьютера, но и потерей данных вместе с порчей оборудования.
Тут же, по соседству с «winio. sys», приютились текстовые строки: « \ \ . \ PhysicalDrive%d»,
« \ \ . \ Scsi%d:» и «SCSIDISK», недвусмысленно свидетельствующие в пользу того, что Keeper
работает с жесткими дисками на низком уровне!
А дальше… дальше идет нечто совершенно
невероятное:


Фрагмент WMC lient. DL , передающий
жесткому диску ATA -команды
. text:100B7A31 push 557 ; nOutBufferSize
. text:100B7A36 lea eax, [ebp+OutBuffer]
. text:100B7A3C push eax ; lpOutBuffer
. text:100B7A3D push 3Ch ; nInBufferSize
. text:100B7A3F lea ecx, [ebp+OutBuffer]
. text:100B7A45 push ecx ; lpInBuffer
. text:100B7A46 push 4D008h
; IoControlCode (IOCTL_SCSI_PASS_THROUGH)
. text:100B7A4B mov edx, [ebp+hObject]
. text:100B7A4E push edx ; hDevice
. text:100B7A4F call ds: DeviceIoControl


Диску посылается IOCTL-код IOCTL_SCSI_PASS_THROUGH, позволяющий передавать
любую ATA-команду в обход операционной системы! ATA-команды — это наиболее низко-
уровневые команды, на которых «разговаривает» диск, и с их помощью можно сделать
все, что угодно. Малейшая неосторожность(или несовместимость) способна разрушить
содержимое диска или уничтожить его «прошивку», что еще хуже. Девять из десяти, что
эта процедура используется для чтения показаний SMART, однако не исключено, что
Keeper пишет на диск какую.то гадость. Мнебыло лень досконально изучать этот вопрос,
поскольку в любом случае Keeper мутит.
Но это только цветочки. Если поставить Keeper на VMWare, то система Web-Money ав-
томатически заблокирует электронный кошелек при первой же попытке оплаты, даже не
уведомив тебя об этом! Если бы Keeper простоне работал под VM Ware, то и черт с ним. Мо-
жет, они просто не совместимы… или VM Ware чего-то дурит (с ней это часто случается). Но
он ведь работает только до первой транзакции, а это значит, что вместе с данными о са-
мой транзакции Keeper скрытно передает некоторую персональную информацию: как
минимум, конфигурацию оборудования, и, возможно, что-то еще.
Не секрет, что многие используют WebMany в основном для совершения анонимных платежей
(расплата за взлом, перевод зарплаты в обход налоговой и т. д.). Однако эта анонимность толь-
ко кажущаяся, тем более что компания охотнопредоставляет сыщикам всю информацию о
своих клиентах, которую ей только удалось собрать, а собирает она многое…
Система Keeper Light работает только из-под браузера и построена на механизме серти-
фикатов. Никакой дополнительной информации о пользователе она не собирает, и един-
ственной ниточкой, за которую могут зацепиться сыщики, оказывается IP-адрес.
Не слишком серьезная улика, к тому же всегда существует возможность спрятаться за
анонимным Proxy или атаковать один из компьютеров и осуществлять все транзакции его
«руками». К сожалению, по своим функциональным возможностям Keeper Light значи-
тельно отстает от Classic'а и к тому же пожирает намного больше трафика (что для
медленных соединений весьма актуально).Но ставить Classic на свою основную машину
я так и не рискнул. Почему — читайте ниже.

Хакерские инструменты

Итак, Keeper Classic лежит у нас в руках, точнее жужжит жестким диском, устанавливая
какие.то компоненты, но какие именно — не говорит! А еще кто.то вирусов нехорошими
словами называет! Компьютерный вирус —это такая штука, которая скрыто делает на
твоем компьютере действия, о которых ты даже не подозреваешь, а если бы и подозре-
вал — навряд ли бы дал свое согласие.
Чтение технической документации и заумных лицензионных соглашений не дает никакой
полезной информации, и трепанацией Keeper'а приходится заниматься самостоятельно.
Как это можно осуществить? Самое простое — перехватить обмен Keeper'а с «базой», снифая трафик любым
подходящим sniffer'ом, например, тем, что встроен в персональный брандмауэр SyGate
Firewall, однако, если трафик зашифрован, его будет не так.то легко расшифровать!
Гораздо проще воспользоваться файловым монитором и монитором реестра Марка Рус-
синовича (оба можно найти на www.sysinternals.com), а также монитором шины Bus Hound от компании Perisoft
(www.perisoft.com). Полезно также снятьдамп с работающей программы любой ути-
литой по вкусу (например, PE-TOOLS) и поковыряться в нем на предмет интересных текс-
товых строк, MAC-адресов и прочих приватных данных. Самые опытные иссле-
дователи могут прибегнуть к тяжелой артиллерии — дизассемблеру IDA Pro, который
покажет, чем на самом деле занимается Keeper при запуске и в процессе перевода
денег. Естественно, полное дизассемблирование занимает слишком много времени,
поэтому мы будем обращать внимание лишьна самые заметные, наименее замаскиро-
ванные места, сразу же бросающиеся в глаза при анализе.

Внутри Keeper'а
Последняя версия Keeper'а проходила подномером 3.0.0.2 и занимала порядка ~1,9 Мб.
После установки на диске в папке WebMoney образовалось множество файлов, среди ко-
торых были WebMoney.exe (пусковой файл, размером 183,024 байт, упакованный, по со-
общению PEiD, протектором ASProtect 1.2x— 1.3x) и WWClient.dll (динамическая библи-
отека, реализующая основной функционал, размер — 3331,824 байт, не упакована).
Собственно говоря, WebMoney.exe можно сразу отбросить в сторону, не тратя силы на
распаковку — все равно ничего интересного там нет. Но прежде нужно запустить мони-
тор реестра и посмотреть, в какие ветви реестра лезет Keeper и не пытается ли он
получить доступ к той информации, разглашать которую мы не хотим?
Даже невооруженным глазом видно, что сразу же после запуска Keeper ринулся оп-
ределять имя чипа сетевой карты («AMD PCNET Family PCI Ethernet» в данном случае),
имя машины («W2K»), и, если покопаться в дампе памяти, там можно обнаружить и
MAC-адрес моей сетевой карты: 00-0C-29-F6-6C-3C (виртуальный, естественно).
Кстати, чтобы узнать свой MAC-адрес, достаточно запустить штатную утилиту ipconfig
c ключом / all (см. рисунок).
«Честные» программы не нуждаются в MAC-адресах и работают с сетью через TCP / IP-
протоколы. Зачем же тогда Keeper'у потребовался наш MAC-адрес? А вот зачем!
MAC-адрес уникален для каждой карты, и, хотя его теоретически возможно сменить на
другой даже без использования программатора, это считается веской уликой при рас-
следовании преступления.
Значит, все-таки Keeper палит наш компьютер! И насколько глубоко?
Берем в руки IDA Pro, загружаем WWClient. dll внутрь, и пока
оно там дизассемблируется (а дизассемблироваться оно будет долго), достаем из за-
начки непочатую бутылку пива, затягиваемся сигаретой и думаем, думаем, думаем…
Лучше всего начинать анализ с поиска текстовых строк. Их легко найти в окне «Name
Windows», вызываемом комбинацией клавиш <Shift-F4>. Текстовые ASCIIZ.строки на-
чинаются с префикса «a». Действительно, здесь притаилось немало непуганой дичи:


Текстовые строки «pic_xxx», обнаружен-
ные в Keeper'е

. rdata:1021ECB0 aPci_wmtid db 'pci_wmtid=',0; DATA
XREF: sub_100901C0+C45o
. rdata:1021ECBC aPci_pursedest db '&pci_
pursedest=',0; DATA XREF: sub_100901C0+CCCo
. rdata:1021ECCC aPci_pursesrc db '&pci_
pursesrc=',0; DATA XREF: sub_100901C0+D53o
. rdata:1021ECDC aPci_amount db '&pci_amount=',0;
DATA XREF: sub_100901C0+DDAo
. rdata:1021ECEC aPci_marker db '&pci_marker=',0;
DATA XREF: sub_100901C0+E61o
. rdata:1021ECFC aPci_desc db '&pci_desc=',0; DATA
XREF: sub_100901C0+EE8o
. rdata:1021ED08 aPci_datecrt db '&pci_datecrt=',0;
DATA XREF: sub_100901C0+F6Fo
. rdata:1021ED18 aPci_modeTest db '&pci_
mode=test',0; DATA XREF: sub_100901C0+FFFo


Семейство строк, гнездящихся вокруг слова «pci», наводит на мысль, что Keeper опраши-
вает PCI-шину для получения списка подключенных устройств. Сканер шины это действи-
тельно подтверждает, а в дампе памяти обнаруживаются идентификационные стро-
ки всех периферийных устройств.
Поскольку виртуальные машины, в частности VMWare, несут на своем борту довольно
специфический набор оборудования и выделяют MAC-адреса из фиксированного пулаадресов,
становится ясно, как система распознает факт наличия виртуальной машины.
Она просто сравнивает конфигурацию пользовательского оборудования с конфигура-
цией виртуальной машины, и, если они совпадают, электронный кошелек закрывается
без предупреждений. Причем сравнение происходит не на клиентской, а на серверной
стороне! То есть Keeper не просто опрашивает PCI-шину, но еще и передает эти данные в
сеть, где они, по всей видимости, заносятся в банк данных, представляющий огромный ин-
терес для спецслужб различных стран.
Штатные средства VMWare не позволяют менять ни MAC-адреса, ни конфигурацию обо-
рудования (в новых версиях вроде бы сделаны некоторые шаги в этом направлении, но
не слишком радикальные). К счастью, есть неофициальная заплатка, позволяющая
менять все, что угодно: TEHTRIS / tools / vmpatch.c. Эксперименты под-
тверждают: после изменения конфигурации Keeper перестает распознавать VMWare, и
электронный кошелек больше не «палится».В текстовых строках можно ковыряться до
бесконечности. Это настоящий Клондайк,раскрывающий зловредные намерения
Keeper'а хуже любого предателя. На месте разработчиков я бы обязательно их зашиф-
ровал, а то как-то несерьезно получается. Как вам нравится следующее? Keeper дина-
мически создает драйвер citio. sys (на NT / W2K / XP) / citio. vxd (на 9x), тут же его за-
гружает в память, а после удаляет:


Ссылки на неопознанный драйвер,
обнаруженные в Keeper'e:

. rdata:10222D5C aSystem32Driver db
'system32 \ drivers \ citio. sys',0
. rdata:10222D78 aFileName db ' \ \ . \ citio',0
. rdata:10222D8C aSystemCitio_vx db 'system \ citio.
vxd',0
. rdata:10222DA0 a_Citio_vxd db ' \ \ . \ CITIO. VXD',0


Ссамим драйвером я не разбирался. Выяснил только, что он имеет размер 4048 байт и,
по сообщениям на форумах, часто является источником многих проблем. Тут уже дело не
в конфиденциальности, а в надежности и стабильности работы. Мастерить драйвера
— это вам не прикладные программы писать. Малейшая небрежность / неосторож-
ность превращается в сплошной геморрой. Зачем пускать к себе на компьютер заведо-
мо некорректно написанную программу?! «Источники, приближенные к кругам разра-
ботчиков» сообщили, что все эти драйвера вставлены вовсе не из-за пакости или жела-
ния навредить пользователю. Напротив! Они охраняют Keeper от нехороших про-
грамм, крадущих электронную наличность. Как говорится, все на благо пользователя,
даже если это благо идет ему вопреки. Я повторяю еще раз: нормально спроектирован-
ный платежный клиент работает исключительно на прикладном уровне, а не
вгрызается в систему, как бульдозер в асфальт. Если на компьютер проникла зло-
вредная программа, захватившая администраторские права (а такие права заполучить
очень легко), она может вытворять с Keeper'ом все, что угодно, и никакие драйвера
не в состоянии ее остановить, поскольку, после того как зловредная программа
загрузит свой собственный драйвер, она уровняет свои шансы с Keeper'ом, а в проти-
востоянии двух драйверов обороняющаяся сторона всегда обречена на поражение.
Но не будем зацикливаться на текстовых строках и двинемся дальше. Посмотрим на
список импортируемых API-функций. Для этого достаточно воспользоваться утилитой
dumpbin. exe, входящей в штатную поставку компилятора Microsoft Visual C++ и Platform
SDK. Вызываем ее («dumpbin. exe / EXPORTS WMClient. dll > output») и смотрим на ре-
зультат:

Функции, импортируемые Keeper'ом
(фрагмент):

Dump of file WMClient. dll
KERNEL32. dll
83 DeviceIoControl
353 Thread32Next
352 Thread32First
28C Process32Next
262 Module32Next
260 Module32First
204 Heap32ListNext
203 Heap32ListFirst
28A Process32First
6C CreateToolhelp32Snapshot


Функции семейства TOOLHELP32 (CreateToolhelp32Snapshot (), Process32First (),
Heap32ListFirst (), Heap32ListNext (),Module32First (), Module32Next (),
Process32Next (), Thread32First () и Thread32Next ()) служат для получения
списка процессов и потоков, имеющихся в системе. Только зачем Keeper'у знать об
этом?! Чтобы «отлавливать» троянские программы?! Непохоже… Троянские про-
граммы меняют свои имена как перчатки, и к тому же никакого «черного списка» внут-
ри Keeper'а нет. Судя по всему, он передает их на сервер, и умные дядьки смотрят: а ка-
ким, собственного, программным обеспечением мы пользуемся? И где гарантия, что,
увидев OllyDbg, PE-TOOLS и прочие хакерские утилиты, они не ликвидируют наш акка-
унт или не настучат «куда нужно»? Keeper— идеальное средство для удаленного на-
блюдения за миллионами машин, тем более что своего любопытства он даже и не скры-
вает. Больше всего смущает наличие функций Heap 32ListFirst () и Heap32ListNext (),
выдающих карту памяти каждого из процессов.
А функция DeviceIoControl () — это вообще ласты. Ее основное предназначение — по-
сылать драйверам специальные управляющие IOCTL-коды, с помощью которых можно
напрямую читать или писать на диск. Поскольку разработчики никак не замаскиро-
вали ее вызов, все IOCTL-коды видны в IDA Pro как на ладони! Давайте разберемся,
что же такого делает Keeper с нашим оборудованием, чего нельзя было бы сделать с
помощью нормальных API-функций?!
Переходим в IDA Pro, нажимаем <Shift-F4> для открытия окна «Name», пишем «DeviceIo
Control» (полностью вводить имя не обязательно — IDA Pro сама поставит курсор на
него, как только поймет, что же мы от нее хотим). Теперь нажимаем <ENTER> и ока-
зываемся в секции импорта. По умолчанию IDA Pro отображает только первые две пе-
рекрестные ссылки. Чтобы увидеть остальные, необходимо в меню «View» выбрать
п у н к т «O pen subv iew», а та м — «Cross references» или просто на жать <ALTV>,<O>,<O>.
Первая же перекрестная ссылка ведет нас к следующему коду, который нам сей-
час и предстоит дешифровать:

Фрагмент Keeper'а, вызывающий
функцию DeviceIoControl

. text:100B76C3 push 0; lpOverlapped

. text:100B76C5 lea edx, [ebp+BytesReturned]
. text:100B76CB push edx ; lpBytesReturned
. text:100B76CC push 18h ; nOutBufferSize
. text:100B76CE lea eax, [ebp+OutBuffer]
. text:100B76D4 push eax ; lpOutBuffer
. text:100B76D5 push 0 ; nInBufferSize
. text:100B76D7 push 0 ; lpInBuffer
. text:100B76D9 push 74080h
. text:100B76DE mov ecx, [ebp+hObject]
. text:100B76E4 push ecx ; hDevice
. text:100B76E5 call ds: DeviceIoControl


Прокрутив дизассемблерный листинг вверх, мы узнаем, что в переменной [ebp +
hObject] находится дескриптор, возвращенный функцией CreateFileA (), которой
скормили строку» \ \ . \ PhysicalDrive%d».Очень интересно! Значит, перед нами код,
напрямую взаимодействующий с жестким диском. Но как именно он с ним взаимодейс-
твует? Ответ скрыт в IOCTL-коде, равном 74080h. Все, что нам нужно, — перевести его
в удобочитаемую константу, а для этого необходимо знать, как формируются IOCTL-
коды, или воспользоваться online.калькулятором, доступном на OSR Online - The Home Page for Windows Driver Developers /
article.cfm? article=229.
Вводим IOCTL-код в окошко «VALUE» и получаем полную расшифровку: Device — DISK
(0x7), Function — 0x20, Access — «FILE_READ_ACCESS», Method — «METHOD_
BUFFERED». Ага, значит, чтение. Ну хорошо хоть не запись! Однако запись еще впереди!
Например:

Еще один фрагмент Keeper'а, вызывающий
функцию DeviceIoControl


. text:100B7F63 push 0 ; lpOverlapped
. text:100B7F65 mov ecx,
[ebp+lpBytesReturned]
. text:100B7F68 push ecx ; lpBytesReturned
. text:100B7F69 push 210h ; nOutBufferSize
. text:100B7F6E mov edx, [ebp+lpOutBuffer]
. text:100B7F71 push edx ; lpOutBuffer
. text:100B7F72 push 20h ; nInBufferSize
. text:100B7F74 mov eax, [ebp+lpInBuffer]
. text:100B7F77 push eax ; lpInBuffer
. text:100B7F78 push 7C088h
. text:100B7F7D mov ecx, [ebp+hDevice]
. text:100B7F80 push ecx ; hDevice
. text:100B7F81 call ds: DeviceIoControl


Калькулятор говорит, что IOCTL-код 7C088h обеспечивает как запись, так и чтение дан-
ных с диска на секторном уровне в обход файловой системы и всех установленных
ею ограничений. Возможно, что Keeper создает на жестком диске какой.то «тайник» или свое-
образную метку, помогающую «людям в погонах» отождествить его. Или это просто
Keeper так привязывается к оборудованию, чтобы его было нельзя запустить с чужого
компьютера (скорее всего, так оно и есть, ведь WM Keeper не загрузит ключи на дру-
гом железе. — Прим. ред.). Кто знает — полное исследование требует большой кон-
центрации сил, ресурсов и времени, но вряд ли конечный результат стоит этого,
поскольку и без того ясно, что за зверь этот Keeper (а еще невинным муравьем прики-
дывается!).

Заключение
Мы выяснили, что Keeper Classic не только собирает (и отсылает) приватную инфор-
мацию, но и отличается крайне агрессивным поведением. Скрываясь под аляпова-
тым интерфейсом прикладной программы, он пробивает тоннель к самому центру
операционной системы и делает это настолько некорректно, что у ряда легаль-
ных пользователей появляются серьезные проблемы.
Я категорически не рекомендую устанавливать эту штуку на свой компьютер. Вот
если бы Keeper распространялся в открытых текстах с полностью специфициро-
ванными протоколами… Компания ничего бы не потеряла, наоборот, только
приобрела. Эксперты указали бы на ошибки, армия LINUX-пользователей не
трахалась бы с Windows-эмуляторами, а спокойно переносила Keeper'а на на-
стольные и мобильные системы, добавляя миллионы новых клиентов. Почему же это-
го до сих пор не сделано?! Уж не потому ли, что Keeper'у есть что скрывать?!