Троян - E-Gold.com

Printable View

22.06.2007, 02:56
VladislavSPB

Вложений: 3

Троян - E-Gold.com

Здравствуйте.
Поймал Трояна который верует деньги с e-gold.com.
Всё это происходит по технологии «Фишинг».
Т.е. при наборе адреса [URL="http://www.e-gold.com/"]www.e-gold.com[/URL] я попадаю не на оф.сайт, а на фальшивый (не отличим от оригинала хорошо постарались). Соответственно при вводе логина и пароля все данные отправляются злоумышленнику.
Хитрость в том, что Вы даже не видите, что с Вас сняли деньги. Сохраняется Ваш текущий баланс и выводится Вам. Если вы хотите перевести деньги то высвечивается ошибка:

[B][COLOR=red][FONT=Arial]Error(s) detected:[/FONT][/COLOR][/B]
[COLOR=black][FONT=Arial]Service is temporary unavailable.[/FONT][/COLOR]

Я три дня думал что это проблема с e-gold. Пока не проверил свай аккаунт на другом компьютере и оказалось что у меня $0.
Когда я начал разбираться получилось поймать сообщение что идет смена dns:
Обнаружен неверный DNS-запрос с IP-адреса: 88.27.213.59, порт:53 на IP-адрес: 217.112.*.*, порт:47644
217.112.*.* – это мой ip.
Тут я и всё пронюхал. Захожу на сайт по ip e-gold’а [URL="https://209.200.168.10/"]https://209.200.168.10[/URL] сразу увидел свой реальный баланс и истории платежей. Естественно поменял пароль. И написал письмо в поддержку e-gold.
Своими силами так и не нашел где он спрятался поэтому пришел к Вам за помощью!
Я здесь в первые, поэтому если что сделаю не так, не ругайте сильно.
Заранее спасибо за помощь и внимание.

С уважением, Владислав.
22.06.2007, 04:07
HATTIFNATTOR

Вместо virusinfo_syscure.zip Вы прикрепили файл карантина, - virusinfo_cure.zip

Подозрительным выглядит файл fdcpodbc.dll, он попал в карантин, - подождем вердикта экспертов.
22.06.2007, 07:39
Muzzle

KBHook.dll - [B]not-a-virus:Monitor.Win32.NetSpy.c[/B]
выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\TaskKeyHook.dll','');
QuarantineFile('C:\WINDOWS\system32\BCGCBPRO951u80.dll','');
QuarantineFile('c:\program files\topplan\netoffice 2007 data\tpnetsvc\tpnetsvc.exe','');
DeleteFile('C:\WINDOWS\system32\KBHook.dll');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
карантин пришлите по правилам.
сделайте новые логи,все три.

ЗЫ.Remote Administrator сами устанавливали?
22.06.2007, 08:53
VladislavSPB

[quote=Muzzle;117512]

ЗЫ.Remote Administrator сами устанавливали?[/quote]

Да :)
22.06.2007, 13:21
VladislavSPB

Вложений: 3

Прикрепил новые файлы.
Карантин отправил на E-mail.
22.06.2007, 17:59
HATTIFNATTOR

Карантин нужно загрузить через форму
[url]http://virusinfo.info/upload_virus.php[/url]

Ссылка на Вашу тему - [url]http://virusinfo.info/showthread.php?t=10556[/url]
22.06.2007, 19:12
Макcим

[QUOTE]Карантин отправил на E-mail.[/QUOTE]На какой e-mail?
23.06.2007, 00:03
VladislavSPB

[quote=MaXim;117674]На какой e-mail?[/quote]
Просто когда отправлял ссылка почему-то не работала, а отправил на e-mail который написан в помощи: [EMAIL="[email protected]"][email protected][/EMAIL],

С уважением, Владислав.
23.06.2007, 00:11
AndreyKa

Этот адрес уже не работает и из Правил его давно убрали.
23.06.2007, 00:14
VladislavSPB

[quote=HATTIFNATTOR;117667]Карантин нужно загрузить через форму
[URL]http://virusinfo.info/upload_virus.php[/URL]

Ссылка на Вашу тему - [URL]http://virusinfo.info/showthread.php?t=10556[/URL][/quote]

Загрузил.

С уважением, Владислав.
23.06.2007, 12:48
HATTIFNATTOR

В карантине ничего вредоносного не обнаружено.
23.06.2007, 18:28
VladislavSPB

[quote=HATTIFNATTOR;117729]В карантине ничего вредоносного не обнаружено.[/quote]

А где искать тогда?

Если я захожу через имя [url]www.e-gold.com[/url] то у меня деньги на месте.
Если по ip [url]https://209.200.169.10[/url] но нуль. Значит, зараза ещё в компьютере, а систему переустанавливать не хочется.

С уважением, Владислав.
23.06.2007, 19:45
Макcим

При всем уважении к аналитикам пишу скрипт удаления fdcpodbc.dll, учитывая местоположения файла и его размер.

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\fdcpodbc.dll');
ExecuteSysClean;
RebootWindows(false);
end.[/CODE]
[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis [CODE]R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
O21 - SSODL: CDBurn - {fbeb8a05-b3f9-8142-804e-469d6c4515e9} - C:\WINDOWS\system32\fdcpodbc.dll[/CODE]Повторите логи.

Сделайте поиск в реестре с помощью AVZ (AVZ -> Сервис -> Поиск данных в реестре -> Параметры поиска -> Поставьте галочку напротив HKEY_USERS). В начале поищите e-gold.com (сохраните протокол), потом 209.200.169.10 (сохраните протокол). Протоколы прикрепите к своему сообщению. Ещё проверьте нет ли в настройках сети "левых" айпишников (Пуск -> Выполнить -> cmd -> вводите ipconfig/all и нажимаете Enter).
23.06.2007, 21:48
VladislavSPB

Вложений: 6

Высылаю повторно лог-файлы.
В реестре поиска, что Вы сказали, но и ещё попробовал ip-адрес 88.27.213.59, в общем, результаты отправляю.
Хоть в вашем скрипте есть команда (RebootWindows(false);) не перезагружать компьютер, он все равно ушел в перезагрузку.
И в фиксе в программе HijackThis не было O21 - SSODL: CDBurn - {fbeb8a05-b3f9-8142-804e-469d6c4515e9} - C:\WINDOWS\system32\fdcpodbc.dll
Левых ip нет.

После выполнения скриптов AVZ у меня компьютера сам не перезагружается, пишет «Завершение работы» и стоим.

После запуска скрипта который удаляет «fdcpodbc.dll» и удаление в реестре подраздела «Search Assistant» при заходе на [url]www.e-gold.com[/url] стал отображаться истинный баланс.

Можно говорить, что компьютер излечен?
И посоветуете чем пользоваться, что бы больше такай заразы не хватать.

С уважением, Владислав.
24.06.2007, 11:58
Макcим

Поищите и пришлите файл [B]SF3.DLL[/B] как написано [URL="http://virusinfo.info/showthread.php?t=4567"]здесь[/URL].
24.06.2007, 20:21
VladislavSPB

[quote=Maxim;117828]Поищите и пришлите файл [B]SF3.DLL[/B] как написано [URL="http://virusinfo.info/showthread.php?t=4567"]здесь[/URL].[/quote]

Ненаходит

Таки ведь это вроде бы от StarForce 3?
Закачал.

И на данный момент с e-gold.com отображается реальная статистика и больше не выдается сообщение с заменой DNS.

C уважением, Владислав.
24.06.2007, 22:54
Макcим

Удалите лишние программы с ПК, почистите мусор (подробнее [URL="http://virusinfo.info/showthread.php?t=10025"]здесь[/URL]), поменяйте на всякий случай пароль e-gold. На этом лечение окончено. В логах все чисто.

Советуем прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Вы можете нас отблагодарить, [URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов[/URL]. Мы будем Вам очень благодарны!

Удачи!
22.02.2009, 01:54
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]17[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\fdcpodbc.dll - [B]Trojan-Downloader.Win32.Agent.bwd[/B] (DrWEB: Trojan.DownLoader.28127)[/LIST][/LIST]