Здравствуйте.
Поймал Трояна который верует деньги с e-gold.com.
Всё это происходит по технологии «Фишинг».
Т.е. при наборе адреса www.e-gold.com я попадаю не на оф.сайт, а на фальшивый (не отличим от оригинала хорошо постарались). Соответственно при вводе логина и пароля все данные отправляются злоумышленнику.
Хитрость в том, что Вы даже не видите, что с Вас сняли деньги. Сохраняется Ваш текущий баланс и выводится Вам. Если вы хотите перевести деньги то высвечивается ошибка:
Error(s) detected: Service is temporary unavailable.
Я три дня думал что это проблема с e-gold. Пока не проверил свай аккаунт на другом компьютере и оказалось что у меня $0.
Когда я начал разбираться получилось поймать сообщение что идет смена dns:
Обнаружен неверный DNS-запрос с IP-адреса: 88.27.213.59, порт:53 на IP-адрес: 217.112.*.*, порт:47644
217.112.*.* – это мой ip.
Тут я и всё пронюхал. Захожу на сайт по ip e-gold’а https://209.200.168.10 сразу увидел свой реальный баланс и истории платежей. Естественно поменял пароль. И написал письмо в поддержку e-gold.
Своими силами так и не нашел где он спрятался поэтому пришел к Вам за помощью!
Я здесь в первые, поэтому если что сделаю не так, не ругайте сильно.
Заранее спасибо за помощь и внимание.
С уважением, Владислав.
Последний раз редактировалось VladislavSPB; 22.06.2007 в 08:40.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Если я захожу через имя www.e-gold.com то у меня деньги на месте.
Если по ip https://209.200.169.10 но нуль. Значит, зараза ещё в компьютере, а систему переустанавливать не хочется.
С уважением, Владислав.
Последний раз редактировалось VladislavSPB; 23.06.2007 в 18:44.
Сделайте поиск в реестре с помощью AVZ (AVZ -> Сервис -> Поиск данных в реестре -> Параметры поиска -> Поставьте галочку напротив HKEY_USERS). В начале поищите e-gold.com (сохраните протокол), потом 209.200.169.10 (сохраните протокол). Протоколы прикрепите к своему сообщению. Ещё проверьте нет ли в настройках сети "левых" айпишников (Пуск -> Выполнить -> cmd -> вводите ipconfig/all и нажимаете Enter).
Высылаю повторно лог-файлы.
В реестре поиска, что Вы сказали, но и ещё попробовал ip-адрес 88.27.213.59, в общем, результаты отправляю.
Хоть в вашем скрипте есть команда (RebootWindows(false);) не перезагружать компьютер, он все равно ушел в перезагрузку.
И в фиксе в программе HijackThis не было O21 - SSODL: CDBurn - {fbeb8a05-b3f9-8142-804e-469d6c4515e9} - C:\WINDOWS\system32\fdcpodbc.dll
Левых ip нет.
После выполнения скриптов AVZ у меня компьютера сам не перезагружается, пишет «Завершение работы» и стоим.
После запуска скрипта который удаляет «fdcpodbc.dll» и удаление в реестре подраздела «Search Assistant» при заходе на www.e-gold.com стал отображаться истинный баланс.
Можно говорить, что компьютер излечен?
И посоветуете чем пользоваться, что бы больше такай заразы не хватать.
С уважением, Владислав.
Последний раз редактировалось Макcим; 23.06.2007 в 22:19.
Удалите лишние программы с ПК, почистите мусор (подробнее здесь), поменяйте на всякий случай пароль e-gold. На этом лечение окончено. В логах все чисто.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: