Некролог на Web-Money Keeper Classic


Введение - часть 2


 

Рисунок 3 интересные текстовые строки, обнаруженные дизассемблером IDA Pro в файле WMClient.DLL

А дальше… дальше идет нечто совершенно невероятное:

 

.text:100B7A31             push   557           ; nOutBufferSize

.text:100B7A36             lea    eax, [ebp+OutBuffer]

.text:100B7A3C             push   eax           ; lpOutBuffer

.text:100B7A3D             push   3Ch           ; nInBufferSize

.text:100B7A3F             lea    ecx, [ebp+OutBuffer]

.text:100B7A45             push   ecx           ; lpInBuffer

.text:100B7A46             push   4D008h        ; IoControlCode(IOCTL_SCSI_PASS_THROUGH)

.text:100B7A4B             mov    edx, [ebp+hObject]

.text:100B7A4E             push   edx           ; hDevice

.text:100B7A4F             call   ds:DeviceIoControl

Листинг 1 фрагмент WMClient.DLL, передающий жесткому диску ATA-команды

Диску посылается IOCTL-код IOCTL_SCSI_PASS_THROUGH, позволяющий передавать любую ATA-команду в обход операционный системы! ATA-команды — это наиболее низкоуровневые команды, на которых "разговаривает" диск и с их помощью можно сделать все, что угодно. Малейшая неосторожность (или несовместимость) способна разрушить содержимое диска или уничтожить его "прошивку", что еще хуже. Девять из десяти, что эта процедура используется для чтения показаний SMART (которые уникальны для каждого жесткого диска, что позволяет отличить его от толпы других), однако, не исключено, что Keeper пишет на диск какую-то гадость. Мыщъх'у было лень досконально изучать этот вопрос, поскольку в любом случае Keeper мутит.

Но это только цветочки. Если поставить Keeper на VMWare, система Web-Money автоматически заблокирует электронный кошелек при первой же попытке оплаты, даже не уведомив тебя об этом! Если бы Keeper просто не работал под VM Ware, то и черт с ним. Может они просто не совместимыми… или VM Ware чего-то дурит (с ней это часто случается). Но… он ведь работает только до первой транзакции, а это значит, что вместе с данными о самой транзакции Keeper скрытно передает некоторую персональную информацию: как минимум конфигурацию оборудования, и, возможно, что-то еще.




Начало  Назад  Вперед



Книжный магазин