Подмена сайтов платежных систем

Здравствуйте ! Проблема в следующем.

[B]Краткое описание:

[/B] Не уверен но вроде [URL="http://casheq.net/"]здесь[/URL] поймал вирус (маскируется под криптоключ для доступа) который делает подмену сайта платёжных систем - но делает не тупое перенаправление на левый сайт, а делает очень хитро и заходит на сайт платёжных систем через какой то буфер-прокси (который естественно запоминает все Ваши логины и пароли).

[B]Подробно как заразился:[/B]
На том сайте для входа в аккаунт нужно ввести криптоключ который генерируется прогой (с этого же сайта), так вот скачал я эту прогу и попытался сгенерировать этот ключ , смотрю прога то создала какой-то еще екзешный файл который пытался прописаться в реестр, первый раз я нажал отмена, запонил имя файла, нашел его в папки темп но КИС в нем ничего не обнаружил, я расслабился, и в этом был мой прокол, на второй то раз я дал ему возможность внести запись в реестр, ошибка была в том что второй раз я не запомнил название файла (а оно как я узнал позднее каждый раз генерируется- разное) и после этого начались проблемы, я в реестр чистить ту запись жму поиск а он ничего не находит и тут я понял что совершил ошибку (какую я описал выше - не запомнил имя файла - да и вообще зря я это сделал). [IMG]http://moneymakergroup.ru/images/smilies/wallbash.gif[/IMG]

[B]Как я определил что работает вирус ?![/B]

1. По логу IP адресов который используется платежной системе Либерти Резерв (там пишится с какого IP Вы вошли) и второе это подмена сертификата безопасности (сертификат выдан не той компанией и не на те сайты).

Первый раз я обратил внимание что сайт платежной системы ЛР просит третью стадию авторизации (на самом деле их две) - так вот на этой третей стадии предлагалось ввести секьюрити пин (он нужен для отправки денег) - короче я попался и после входа в аакаунт увидел что захожу с левого IP, т.к. у меня выделенный IP - ну и потом обратил внимание что сертификат безопасности у сайта ЛР выдан не той компанией что было изначально. Сам сайт выглядит как обычно и нет ничего что могло бы говорить о подмене, с остальными сайтами платёжных систем все тоже самое.

В общем если сможете помогите разобраться и найти этот вирь.

[B]P.S.[/B] Кстати когда я об этом написал на одном их форумов по инвестициям мне предложили обратиться к Вам , но прочитав правила первое что я сделал так это откатил систему на пару дней и при заходе на сайты платежек все стало нормально - я обрадовался, но не тут то было - каким то образом (после перезагрузки) вирь опять стал действовать и сайты опять подменились (заметил по сертификатам) - я попытался опять откатить систему - но пришол к большому удивлению т.к. сделать это было невозможно - почему я не знаю - просто не восстанавливается и все тут - пробовал разные точки но исход один.

Работа данного вируса был замечен с тремя сайтами платёжных систем (E-gold, Liberty Reserve, E-bullion).


В общем помогите чем сможете.

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\nwiz.exe','');
QuarantineFile('C:\Program Files\Sable\WINNT\startnt.bat','');
QuarantineFile('C:\WINDOWS\system32\fdcpodbc.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=12972[/url]

Файлик закачал !!! - из 3 файлов у меня подозрение на fdcpodbc.dll - т.к. во первых: при загрузки компа KIS постоянно спрашивает, что с ним делать т.к. он (файл) пытается внедрится в процессы (я блокирую), второе файл startnt.bat - это утилита для взлома хаспа 1с :) (кто не без греха), третье: файл nwiz.exe вроде как утилита от видеокарты (но утверждать не буду) - остаётся только dll.
P.S. Так же еще один момент который заметил только что - после того как я отправил Вам логи - сертификаты на сайтах платежных систем пришли в нормальное состояние (я ведь проводил лечение по правилам прогой avz ) !!!!

P.S.S. Если Вам удастся установить что дело в fdcpodbc.dll - просьба сообщите как мне его почикать - (или просто из под сэйфмод ?)

все присланные фалы судя по вирустотал чистые ...
сделайте лог [url]http://virusinfo.info/showthread.php?t=10387[/url]

Если я все правильно понял то вот прицепы.

Также из всего лога у меня большие подозрения на файл C:\WINDOWS\system32\drivers\klif.sys - (но я не профи - так что решать Вам).

Ждём анализа от каспера, klif.sys не трогать- это сердце каспера ;)

fdcpodbc.dll- по моему гадость ;)
Если не терпится, можно самому удалить :
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);

DeleteFile('C:\WINDOWS\system32\fdcpodbc.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]

[QUOTE=drongo;140169]Ждём анализа от каспера,
fdcpodbc.dll- по моему гадость ;)
[/QUOTE]
Помоему тоже, уж очень сильно смахивает на клавиатурного шпиёна.

[QUOTE]
Если не терпится, можно самому удалить :[/QUOTE]

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\fdcpodbc.dll');
BC_QrFile('C:\WINDOWS\System32\DRIVERS\parport.sys');
BC_ImportDeletedList;
ExecuteSysClean;
ClearHostsFile();
BC_Activate;
RebootWindows(true);
end.
[/code]

Я немного скрипт изменил, заодно хочется ещё один файл посмотреть - parport.sys пришлите его из карантина после перезагрузки.

пришел ответ вирлаба ...
fdcpodbc.dll - [B]Trojan.Win32.Small.sc[/B]

[QUOTE=drongo;140169]fdcpodbc.dll- по моему гадость[/QUOTE]и не только по-твоему ;) : [url]http://www.trendmicro.com/vinfo/grayware/ve_graywareDetails.asp?GNAME=TSPY_AGENT.YZR&VSect=Td[/url]

[quote]
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\fdcpodbc.dll');
BC_QrFile('C:\WINDOWS\System32\DRIVERS\parport.sys');
BC_ImportDeletedList;
ExecuteSysClean;
ClearHostsFile();
BC_Activate;
RebootWindows(true);
end.
[/code]Я немного скрипт изменил, заодно хочется ещё один файл посмотреть - parport.sys пришлите его из карантина после перезагрузки.[/quote]

Скрипт выполнил, файл приклеил согласно правил.

Посмотрите плиз может еще какая гадость.

[size="1"][color="#666686"][B][I]Добавлено через 20 минут[/I][/B][/color][/size]

------------------------
Ребята, [b]ОГРОМНОЕ ВАМ ВСЕМ СПАСИБО !!!! [/b] Не знаю почему Вы этим занимаетесь (в смысли помогаете людям - причём безвозмездно :D ), но точно знаю, что делаете Вы все правильно и по совести ! Мир не без добрых людей !!! Желаю Вам успехов и процветания в этом не лёгком деле !

Тот линк, что дал Rene-gad - очень может быть полезным. Надо проверить реестр и если осталось подобное, сделать как написано .[url]http://www.trendmicro.com/vinfo/grayware/ve_graywareDetails.asp?GNAME=TSPY_AGENT.YZR&VSect=Sn[/url]

C:\Disk C\Мои документы123\Программы\Spycapture\SpyCapture.zip--тоже кейлогер , если не в курсе;)

Насчёт ваших дырок в системе:
[code]Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику[/code]

Если комп домашний в единственном экземпляре, можно смело всё залатать:

[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('Alerter', 4);
SetServiceStart('Messenger', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
end.[/code]

Чтобы уменьшить шанс заражения, на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером [b]с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты [/b]([url=http://virusinfo.info/showthread.php?p=121290#post121290]Firefox[/url] и [url=http://virusinfo.info/showthread.php?t=6577]Opera[/url] это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": [url]http://security-advisory.newmail.ru[/url]

[quote=drongo;140222]Тот линк, что дал Rene-gad - очень может быть полезным. Надо проверить реестр и если осталось подобное, сделать как написано .[URL]http://www.trendmicro.com/vinfo/grayware/ve_graywareDetails.asp?GNAME=TSPY_AGENT.YZR&VSect=Sn[/URL]

C:\Disk C\Мои документы123\Программы\Spycapture\SpyCapture.zip--тоже кейлогер , если не в курсе;)[/quote]


Да огромное спасибо !!! первый раз не обратил внимание что надо было сделать, теперь все сделал - запись в реестре исправил, инишный файлик нашел и почикал (заглянул в него а там IP перенаправления :) хех..) только вот не понял чем искать [B]TSPY_AGENT.YZR[/B] (тем онлайн антивирусом что у них на сайте ?)

[quote=drongo;140222]Если комп домашний в единственном экземпляре, можно смело всё залатать:

[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('Alerter', 4);
SetServiceStart('Messenger', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
end.[/code]

Чтобы уменьшить шанс заражения, на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": [url]http://security-advisory.newmail.ru[/url][/quote]


Да комп домашний, скрипт выполнил, спасибо ! Пользуюсь Firefox - IE не очень люблю.
Книжку обязательно прочту !) :)

А что толку его искать если мы его удалили, просто каждая компания по своему называет тех же зверей.
а это выполняется:[b]Работать за компьютером с правами ограниченного пользователя.[/b] ? что-то не вериться ;)

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\fdcpodbc.dll - [B]Trojan.Win32.Small.sc[/B][/LIST][/LIST]