Показано с 1 по 14 из 14.

Подмена сайтов платежных систем (заявка № 12972)

  1. #1
    Junior Member Репутация
    Регистрация
    25.09.2007
    Сообщений
    5
    Вес репутации
    34

    Thumbs up Подмена сайтов платежных систем

    Здравствуйте ! Проблема в следующем.

    Краткое описание:

    Не уверен но вроде здесь поймал вирус (маскируется под криптоключ для доступа) который делает подмену сайта платёжных систем - но делает не тупое перенаправление на левый сайт, а делает очень хитро и заходит на сайт платёжных систем через какой то буфер-прокси (который естественно запоминает все Ваши логины и пароли).

    Подробно как заразился:
    На том сайте для входа в аккаунт нужно ввести криптоключ который генерируется прогой (с этого же сайта), так вот скачал я эту прогу и попытался сгенерировать этот ключ , смотрю прога то создала какой-то еще екзешный файл который пытался прописаться в реестр, первый раз я нажал отмена, запонил имя файла, нашел его в папки темп но КИС в нем ничего не обнаружил, я расслабился, и в этом был мой прокол, на второй то раз я дал ему возможность внести запись в реестр, ошибка была в том что второй раз я не запомнил название файла (а оно как я узнал позднее каждый раз генерируется- разное) и после этого начались проблемы, я в реестр чистить ту запись жму поиск а он ничего не находит и тут я понял что совершил ошибку (какую я описал выше - не запомнил имя файла - да и вообще зря я это сделал).

    Как я определил что работает вирус ?!

    1. По логу IP адресов который используется платежной системе Либерти Резерв (там пишится с какого IP Вы вошли) и второе это подмена сертификата безопасности (сертификат выдан не той компанией и не на те сайты).

    Первый раз я обратил внимание что сайт платежной системы ЛР просит третью стадию авторизации (на самом деле их две) - так вот на этой третей стадии предлагалось ввести секьюрити пин (он нужен для отправки денег) - короче я попался и после входа в аакаунт увидел что захожу с левого IP, т.к. у меня выделенный IP - ну и потом обратил внимание что сертификат безопасности у сайта ЛР выдан не той компанией что было изначально. Сам сайт выглядит как обычно и нет ничего что могло бы говорить о подмене, с остальными сайтами платёжных систем все тоже самое.

    В общем если сможете помогите разобраться и найти этот вирь.

    P.S. Кстати когда я об этом написал на одном их форумов по инвестициям мне предложили обратиться к Вам , но прочитав правила первое что я сделал так это откатил систему на пару дней и при заходе на сайты платежек все стало нормально - я обрадовался, но не тут то было - каким то образом (после перезагрузки) вирь опять стал действовать и сайты опять подменились (заметил по сертификатам) - я попытался опять откатить систему - но пришол к большому удивлению т.к. сделать это было невозможно - почему я не знаю - просто не восстанавливается и все тут - пробовал разные точки но исход один.

    Работа данного вируса был замечен с тремя сайтами платёжных систем (E-gold, Liberty Reserve, E-bullion).


    В общем помогите чем сможете.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\nwiz.exe','');
     QuarantineFile('C:\Program Files\Sable\WINNT\startnt.bat','');
     QuarantineFile('C:\WINDOWS\system32\fdcpodbc.dll','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=12972

  4. #3
    Junior Member Репутация
    Регистрация
    25.09.2007
    Сообщений
    5
    Вес репутации
    34
    Файлик закачал !!! - из 3 файлов у меня подозрение на fdcpodbc.dll - т.к. во первых: при загрузки компа KIS постоянно спрашивает, что с ним делать т.к. он (файл) пытается внедрится в процессы (я блокирую), второе файл startnt.bat - это утилита для взлома хаспа 1с (кто не без греха), третье: файл nwiz.exe вроде как утилита от видеокарты (но утверждать не буду) - остаётся только dll.
    P.S. Так же еще один момент который заметил только что - после того как я отправил Вам логи - сертификаты на сайтах платежных систем пришли в нормальное состояние (я ведь проводил лечение по правилам прогой avz ) !!!!

    P.S.S. Если Вам удастся установить что дело в fdcpodbc.dll - просьба сообщите как мне его почикать - (или просто из под сэйфмод ?)
    Последний раз редактировалось Wint; 06.10.2007 в 18:36.

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    все присланные фалы судя по вирустотал чистые ...
    сделайте лог http://virusinfo.info/showthread.php?t=10387

  6. #5
    Junior Member Репутация
    Регистрация
    25.09.2007
    Сообщений
    5
    Вес репутации
    34
    Если я все правильно понял то вот прицепы.

    Также из всего лога у меня большие подозрения на файл C:\WINDOWS\system32\drivers\klif.sys - (но я не профи - так что решать Вам).
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    Ждём анализа от каспера, klif.sys не трогать- это сердце каспера

    fdcpodbc.dll- по моему гадость
    Если не терпится, можно самому удалить :
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     
    DeleteFile('C:\WINDOWS\system32\fdcpodbc.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Последний раз редактировалось drongo; 06.10.2007 в 19:11.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    544
    Цитата Сообщение от drongo Посмотреть сообщение
    Ждём анализа от каспера,
    fdcpodbc.dll- по моему гадость
    Помоему тоже, уж очень сильно смахивает на клавиатурного шпиёна.

    Если не терпится, можно самому удалить :
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('C:\WINDOWS\system32\fdcpodbc.dll');
    BC_QrFile('C:\WINDOWS\System32\DRIVERS\parport.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    ClearHostsFile();
    BC_Activate;
    RebootWindows(true);
    end.
    Я немного скрипт изменил, заодно хочется ещё один файл посмотреть - parport.sys пришлите его из карантина после перезагрузки.
    Последний раз редактировалось RiC; 06.10.2007 в 22:00.

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    пришел ответ вирлаба ...
    fdcpodbc.dll - Trojan.Win32.Small.sc

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от drongo Посмотреть сообщение
    fdcpodbc.dll- по моему гадость
    и не только по-твоему : http://www.trendmicro.com/vinfo/gray...T.YZR&VSect=Td

  11. #10
    Junior Member Репутация
    Регистрация
    25.09.2007
    Сообщений
    5
    Вес репутации
    34
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('C:\WINDOWS\system32\fdcpodbc.dll');
    BC_QrFile('C:\WINDOWS\System32\DRIVERS\parport.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    ClearHostsFile();
    BC_Activate;
    RebootWindows(true);
    end.
    Я немного скрипт изменил, заодно хочется ещё один файл посмотреть - parport.sys пришлите его из карантина после перезагрузки.
    Скрипт выполнил, файл приклеил согласно правил.

    Посмотрите плиз может еще какая гадость.

    Добавлено через 20 минут

    ------------------------
    Ребята, ОГРОМНОЕ ВАМ ВСЕМ СПАСИБО !!!! Не знаю почему Вы этим занимаетесь (в смысли помогаете людям - причём безвозмездно ), но точно знаю, что делаете Вы все правильно и по совести ! Мир не без добрых людей !!! Желаю Вам успехов и процветания в этом не лёгком деле !
    Последний раз редактировалось Wint; 07.10.2007 в 10:49. Причина: Добавлено

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    Тот линк, что дал Rene-gad - очень может быть полезным. Надо проверить реестр и если осталось подобное, сделать как написано .http://www.trendmicro.com/vinfo/gray...T.YZR&VSect=Sn

    C:\Disk C\Мои документы123\Программы\Spycapture\SpyCapture.zip--тоже кейлогер , если не в курсе

    Насчёт ваших дырок в системе:
    Код:
    Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
    >> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    Если комп домашний в единственном экземпляре, можно смело всё залатать:

    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('Alerter', 4);
    SetServiceStart('Messenger', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    end.
    Чтобы уменьшить шанс заражения, на будущее :
    1) Работать за компьютером с правами ограниченного пользователя.
    2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
    3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": http://security-advisory.newmail.ru
    Последний раз редактировалось drongo; 07.10.2007 в 11:35.

  13. #12
    Junior Member Репутация
    Регистрация
    25.09.2007
    Сообщений
    5
    Вес репутации
    34
    Цитата Сообщение от drongo Посмотреть сообщение
    Тот линк, что дал Rene-gad - очень может быть полезным. Надо проверить реестр и если осталось подобное, сделать как написано .http://www.trendmicro.com/vinfo/gray...T.YZR&VSect=Sn

    C:\Disk C\Мои документы123\Программы\Spycapture\SpyCapture.zip--тоже кейлогер , если не в курсе

    Да огромное спасибо !!! первый раз не обратил внимание что надо было сделать, теперь все сделал - запись в реестре исправил, инишный файлик нашел и почикал (заглянул в него а там IP перенаправления хех..) только вот не понял чем искать TSPY_AGENT.YZR (тем онлайн антивирусом что у них на сайте ?)

    Цитата Сообщение от drongo Посмотреть сообщение
    Если комп домашний в единственном экземпляре, можно смело всё залатать:

    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('Alerter', 4);
    SetServiceStart('Messenger', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    end.
    Чтобы уменьшить шанс заражения, на будущее :
    1) Работать за компьютером с правами ограниченного пользователя.
    2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
    3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": http://security-advisory.newmail.ru

    Да комп домашний, скрипт выполнил, спасибо ! Пользуюсь Firefox - IE не очень люблю.
    Книжку обязательно прочту !)
    Последний раз редактировалось Wint; 07.10.2007 в 11:52.

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    А что толку его искать если мы его удалили, просто каждая компания по своему называет тех же зверей.
    а это выполняется:Работать за компьютером с правами ограниченного пользователя. ? что-то не вериться

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,555
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 4
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\fdcpodbc.dll - Trojan.Win32.Small.sc


  • Уважаемый(ая) Wint, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Подмена сайтов.
      От Rudik17 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 23.11.2010, 21:15
    2. Подмена некоторых сайтов на подставные (заявка №29578)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 3
      Последнее сообщение: 13.09.2010, 00:00
    3. Ответов: 18
      Последнее сообщение: 01.05.2010, 12:00
    4. Троян Clampi угрожает пользователям платежных систем и клиентам банков
      От ALEX(XX) в разделе Новости компьютерной безопасности
      Ответов: 0
      Последнее сообщение: 22.09.2009, 09:22

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01648 seconds with 24 queries