SEO Blog - всё о дорвеях (Doorways)

Что-то поледнее время участились взломы компьютеров SEO-шников.
Троян Pinch.
Недавно мне по аське написал один человек под видом потенциального клиента, хотел заказать некоторые услуги и предложил посмотреть презентацию, в ответ я сообщил ему мыло. Туда было отправлено сообщение с вложенным архивом, в котором находился исполняемый файл презентация.exe, что меня сразу же насторожило. Поэтому решил открыть отдельно на ноутбуке… После запуска ноутбук немного подвис, я сразу понял что что-то не так и выдернул сетевой шнур, но было позно (прошло 2-3 секунды).

Первое что случилось - на настольном компьтере разлогилась аська, при попытке подключиться выдавало: введен неверный пароль. Скажу честно, меня сразу же кинуло в холодный комп, т.к. о троянах и воровстве паролей я знаю непонаслышке. Я сразу же кинулся на icq.com в сервис по восстановлению паролей, благо ранее ставил два дополнительных личных вопроса о любимом ресторане и имени домашнего питомца . Пароль восстановил, вошел в аську.

Тот же самый человек мне тут же написал, что я попал и мне прийдется заплатить, если я хочу “чтобы все мое осталось моим”. Я понял что у меня слили всю личную информацию с ноутбука (логины и пароли). Что делать?

Для начала я стал тянуть время, общаясь с вымогателем, спросил его сколько он хочет, на что он ответил, что я сам должен предложить цену. Я говорю, чтобы определить цену мне нужно знать какие конкретно данные ему удалось слить. В итоге он мне прислал лог-файл, который сливается трояном, как ни странно он его оставил в том же виде, как выдает программа с трояном. Я стал тянуть время тянуть время, задавая вымогателю дополнительные вопросы в надежде вытянуть как можно больше полезной информации, трудно описать мое состоянее в этот момент, я очень хотел, чтобы этот человек оказался рядом, в голову лезли мысли чтобы я с ним сделал . Дело в том, что на моих компьютерах хранятся пароли от более чем 400 сайтов, бОльшая часть из них - коммерческие сайты компаний, госорганизаций.

Параллельно я стал менять все пароли (настольный комп остался незараженным), смотря по лог файлу. По нему я посмотрел, что у злоумышленника были пароли от 2х шестизнаков (icq), пароли к моим почтовым ящикам, и к данные по доступу к 14-ти сайтам!

Лог файл представляет из себя html-страничку, естественно я открыл её в исходном коде, в title страницы был текст Pinch log Parser (неточно). По этим данным мне удалось найти описание этого зверька:

Pinch, написан на ассемблере. Ни один сорвеменный антивирус его не определяет. Зараза прикрепляется к любому исполняемому файлу и после запуска сливает злоумышленнику все логи ваших броузеров и агентов icq, происходит это в считанные секунды. Таким образом хакеру достаются ваши пароли от асек, почты, сайтов и все что связано с вводом данных на формах.

Заразу вычислить очень трудно (Outpost Firewall, Касперский, NOD32, Norton и т.п.), ничто не поможет. Троян маскируется под системный процесс, обычно связанный с интернетом.

Вылечить можно двумя способами:
1) Отформатировать винт
2) Найти сам файл троян (обычно он лежит в папке Windows или Windows/system32), как раз мне это удалось.

В итоге я все-таки нашел и обезвередил вирус, восстановил и сменил все пароли, хакер тоже не терял время…
Вся эта ситуация вылилась в дефейс 3х сайтов, один был полночтью удален. Но все было восстановлено в течение 5 минут.

По логам сломанных сайтов я определил IP-адрес этого человека, естественно это был анонимный-proxy, находящийся в Японии, но вычислить IP-все равно можно, у любого proxy-сервера есть лог, в котором хранятся реальный данные всех юзеров, пользовавшихся сервером. Написал письмо в эту компанию, естественно ответа нет, нужны полномочия (например, если бы я был агнетом интерпола, 100% ответили бы!).

Вымогатель ничего не зная, продолжал требовать деньги…

Также из разговора мне стало известно, что ему же удалось подсунуть трояны ОГРОМНУЮ ЧИСЛО ПОЛЬЗОВАТЕЛЕЙ, в их числе один известный питерский хостинг (название которого я выдавать не буду по понятным причинам), мне предложили купить базу их клиентов и скрипты биллинговой панели.

Теперь (сменив все пароли) я занял более уверенную позицию и написал ублюдку (по другому не могу), что собрал все необходимые данные и скоро мы с ним увидимся и скорее всего после встречи со мной ему прийдется посидеть в тюрьме. После этого этот товарищ пропал и перестал отвечать на мои сообщения.

Я связался с питерской компанией (о которой писал выше), они мне поведали свою историю, от которой я наверное мягко говоря впал в шоковое состояние .

У них похитили все данные, угнали аську. С этой аськи по всем клиентам отправили сообщение, что сотрудник поддержки тяжело болен и ему срочно нужна операция. В послании также указывали кошелек webmoney, на который просили перевести деньги. Многие клиенты отправили…

Уфф честно скажу устал писать, продолжу позже.

Если кому нужна помощь, обращайтесь, попробую помочь найти данные троян обезвредил его раз, думаю получиться снова.

Самое главное правило: НЕ ОТКРЫВАЙТЕ ИСПОЛНЯЕМЫХ ФАЙЛОВ (.exe и .com) пришедших по почте.

http://forum.searchengines.ru/showthread.php?t=102168

WM подстава

Автор: Corvalol

Стал отправлять свой номер кошелька, как обычно копирую в буфер,
вставляю и вместо моего кошелька подставляется Z177083643161, проверил с E, R кошельками
подставляется E410170726470, R386156446388 соответственно.

Лечится удалением файла, лежащего в system32\swmclip.dll

Будьте бдительны!

Надеюсь данное сообщение окажется полезным.

http://forum.searchengines.ru/showthread.php?t=101881

Popularity: 1% [?]