- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Решил создать эту тему в продолжение своего поста, попросили в параллельной ветке про воровство паролей.
Недавно мне по аське написал один человек под видом потенциального клиента, хотел заказать некоторые услуги и предложил посмотреть презентацию, в ответ я сообщил ему мыло. Туда было отправлено сообщение с вложенным архивом, в котором находился исполняемый файл презентация.exe, что меня сразу же насторожило. Поэтому решил открыть отдельно на ноутбуке... После запуска ноутбук немного подвис, я сразу понял что что-то не так и выдернул сетевой шнур, но было позно (прошло 2-3 секунды).
Первое что случилось - на настольном компьтере разлогилась аська, при попытке подключиться выдавало: введен неверный пароль. Скажу честно, меня сразу же кинуло в холодный комп, т.к. о троянах и воровстве паролей я знаю непонаслышке. Я сразу же кинулся на icq.com в сервис по восстановлению паролей, благо ранее ставил два дополнительных личных вопроса о любимом ресторане и имени домашнего питомца :). Пароль восстановил, вошел в аську.
Тот же самый человек мне тут же написал, что я попал и мне прийдется заплатить, если я хочу "чтобы все мое осталось моим". Я понял что у меня слили всю личную информацию с ноутбука (логины и пароли). Что делать?
Для начала я стал тянуть время, общаясь с вымогателем, спросил его сколько он хочет, на что он ответил, что я сам должен предложить цену. Я говорю, чтобы определить цену мне нужно знать какие конкретно данные ему удалось слить. В итоге он мне прислал лог-файл, который сливается трояном, как ни странно он его оставил в том же виде, как выдает программа с трояном. Я стал тянуть время тянуть время, задавая вымогателю дополнительные вопросы в надежде вытянуть как можно больше полезной информации, трудно описать мое состоянее в этот момент, я очень хотел, чтобы этот человек оказался рядом, в голову лезли мысли чтобы я с ним сделал :madd:. Дело в том, что на моих компьютерах хранятся пароли от более чем 400 сайтов, бОльшая часть из них - коммерческие сайты компаний, госорганизаций.
Параллельно я стал менять все пароли (настольный комп остался незараженным), смотря по лог файлу. По нему я посмотрел, что у злоумышленника были пароли от 2х шестизнаков (icq), пароли к моим почтовым ящикам, и к данные по доступу к 14-ти сайтам!
Лог файл представляет из себя html-страничку, естественно я открыл её в исходном коде, в title страницы был текст Pinch log Parser (неточно). По этим данным мне удалось найти описание этого зверька:
Pinch, написан на ассемблере. Ни один сорвеменный антивирус его не определяет. Зараза прикрепляется к любому исполняемому файлу и после запуска сливает злоумышленнику все логи ваших броузеров и агентов icq, происходит это в считанные секунды. Таким образом хакеру достаются ваши пароли от асек, почты, сайтов и все что связано с вводом данных на формах.
Заразу вычислить очень трудно (Outpost Firewall, Касперский, NOD32, Norton и т.п.), ничто не поможет. Троян маскируется под системный процесс, обычно связанный с интернетом.
Вылечить можно двумя способами:
1) Отформатировать винт
2) Найти сам файл троян (обычно он лежит в папке Windows или Windows/system32), как раз мне это удалось.
В итоге я все-таки нашел и обезвередил вирус, восстановил и сменил все пароли, хакер тоже не терял время...
Вся эта ситуация вылилась в дефейс 3х сайтов, один был полночтью удален. Но все было восстановлено в течение 5 минут.
По логам сломанных сайтов я определил IP-адрес этого человека, естественно это был анонимный-proxy, находящийся в Японии, но вычислить IP-все равно можно, у любого proxy-сервера есть лог, в котором хранятся реальный данные всех юзеров, пользовавшихся сервером. Написал письмо в эту компанию, естественно ответа нет, нужны полномочия (например, если бы я был агнетом интерпола, 100% ответили бы!).
Вымогатель ничего не зная, продолжал требовать деньги...
Также из разговора мне стало известно, что ему же удалось подсунуть трояны ОГРОМНУЮ ЧИСЛО ПОЛЬЗОВАТЕЛЕЙ, в их числе один известный питерский хостинг (название которого я выдавать не буду по понятным причинам), мне предложили купить базу их клиентов и скрипты биллинговой панели.
Теперь (сменив все пароли) я занял более уверенную позицию и написал ублюдку (по другому не могу), что собрал все необходимые данные и скоро мы с ним увидимся и скорее всего после встречи со мной ему прийдется посидеть в тюрьме. После этого этот товарищ пропал и перестал отвечать на мои сообщения.
Я связался с питерской компанией (о которой писал выше), они мне поведали свою историю, от которой я наверное мягко говоря впал в шоковое состояние :eek: .
У них похитили все данные, угнали аську. С этой аськи по всем клиентам отправили сообщение, что сотрудник поддержки тяжело болен и ему срочно нужна операция. В послании также указывали кошелек webmoney, на который просили перевести деньги. Многие клиенты отправили...
Уфф честно скажу устал писать, продолжу позже.
Если кому нужна помощь, обращайтесь, попробую помочь найти данные троян обезвредил его раз, думаю получиться снова.
Самое главное правило: НЕ ОТКРЫВАЙТЕ ИСПОЛНЯЕМЫХ ФАЙЛОВ (.exe и .com) пришедших по почте.
Ваши комментарии?
ага палится он всем чем только можно, почти всем фаерволами и антивирусами, я уже 2 раза отлавливал , 1 раз через аську хотели впарит а второй раз как картинку O_0
У меня стоял Outpost Firewall Pro и NOD32, все с последними базами.
Я знаю что палятся старые версии трояна, но к нему есть конфигуратор, который перенастраивает код и определить его стандартными средствами невозможно.
Я сохранил зараженный файл, если хотите давайте вам отправлю, проверите?
За последствия не отвечаю...
нет спасибо Ж) , ато мало ли что, хотя пинч действует целеноправлено, чтоббы его сконфигурировать нужно знать ip жертвы
но вычислить IP-все равно можно, у любого proxy-сервера есть лог
Если это открытый проксик а не затрояненный комп (такие проксики не держат логов), в противном случае вычислить могжет только интерпол и то только по провайдерским логам доступ к которым предоставляется только с разрешения суда во время проведения официального расследования... (если злоумышленник лез через сетку Socks проксиков то шансы его найти вообще стремятся к нулю)
Ваши комментарии?
надо быть полным идиотом чтоб открывать исполняемые файлы от неизвестных людей...
В личку посыпались вопросы:
Я искал таким образом:
открыл Диспетчер Задач (CTRL+ALT+DEL).
Посмотрел увидел что есть два процесса с одним именем - один системный, один юзера, оба используют сеть. Сделал поиск по файлам (используя Яндекс: Персональный поиск :)).
В итоге увидел что файла действительно 2, один лежал в Windwows\System32, другой в Windows, дата последнего была как раз за тот момент что я заразился.
Убил этот файл.
Сделал поиск по реестру, этот файл был в списке автозагрузки Windows, убил его оттуда.
Вроде все.
1 раз через аську хотели впарит
Ага, получал несколько раз от людей из контакта их фотки, при чем один известный на форуме человек предложил мне посмотреть его летние пляжные фотки 😂 Я его сразу нах послал, даже ответа не получил, а через полчаса он мне написал, типа надеюсь вы не запустили мою пляжную фотку?😂
Я об этом же.
А с кем не бывает, вы думаете я об этом не знал?
Я для того и написал, чтобы такие же идиоты как и я не попались.
ВСЕМ БОЛЬШОЕ СПАСИБО ЗА МИНУСЫ, хотел помочь, видимо это тут воспринимается как неуд.
во во просто надо быт бдительным, ведь последствия могут быть плачевными
отдел К может занятся правда врятли они буду заниматься рядовыми пользоватлями
аналогично от клиентов было такое :)