Некролог на Web-Money Keeper Classic

       

и Keeper Light, каждая из


Популярная платежная система Web-Money реализована в виде двух независимых программ — Keeper Classic и Keeper Light, каждая из которых имеет свои достоинства и недостатки.
Keeper Classic представляет обычное Windows-приложение, требующее инсталляции на компьютер и непонятно что на нем делающее. По словам некоторых пользователей "это —поделка от Web-Money, в которую неизвестно что зашито, может, и троян. И даже если его там нет, сие творение небезупречно – пару раз ставил на несколько компов, так они стали хромать на обе ноги, вплоть до BSOD. На других же компах работа была нормальной. Следовательно, эта программа недоработана и ведет себя непредсказуемо в зависимости от неизвестно чего".

Рисунок 1 установка Keeper Classic на компьютер
Но прикладное приложение (которым пытается казаться Keeper Classic) не может вызывать BSOD, поскольку это прерогатива драйверов, работающих на уровне ядра. Значит, Keeper каким-то образом проникает в ядро, причем не совсем легальным путем (отсюда конфликты и BSOD). Во всяком случае, я не видел никакого запроса на установку драйверов при инсталляции и никаких драйверов не появилось в каталоге WINNT\System32\Drivers, где им и положено быть, но… запуск утилиты R-Studio, восстанавливающей удаленные файлы, показал наличие созданного и тут же удаленного файла winio.sys, ссылка на который обнаружилась в компоненте Keeper'a: WMClient.dll и, судя по названию, этот драйвер открывает доступ к портам ввода/вывода с прикладного уровня, что создает нехилую дыру в системе безопасности, не говоря уже о том, что некорректное обращение с портами чревато не только голубыми экранами смерти, зависанием компьютера, но и потерей данных вместе с порчей оборудования.

Рисунок 2 утилита R-Studio удаляет драйвер установленный, загруженный и удаленный Keeper'ом
Тут же, по соседству с "winio.sys" приютились текстовые строки — "\\.\PhysicalDrive%d", "\\.\Scsi%d:" и "SCSIDISK", недвусмысленно свидетельствующие в пользу того, что Keeper работает с жесткими дисками на низком уровне!


Не секрет, что многие используют Web-Many в основном для совершения анонимных платежей (расплата за взлом, перевод зарплаты в обход налоговой и т. д.). Однако, эта анонимность только кажущаяся, тем более что компания охотно предоставляет сыщикам всю информацию о своих клиентах, которую ей только удалось собрать, а собирает она многое….
Система Keeper Light работает только из-под браузера и построена на механизме сертификатов. Никакой дополнительной информации о пользователя она не собирает и единственной ниточкой, за которую могут зацепиться сыщики, оказывается IP-адрес. Не слишком серьезная улика, к тому же всегда существует возможность спрятаться за анонимным Proxy или атаковать один из компьютеров и осуществлять все транзакции его "руками. К сожалению, по своим функциональным возможностям Keeper Light значительно отстает от Classic'а и к тому же пожирает намного больше трафика (что для медленных соединений весьма актуально). Однако, ставить Classic'а на свою основную машину я так и не рискнул. Почему — читайте ниже.

Рисунок 4 вся работа через Keeper Light осуществляется через браузер

Содержание раздела