Проверяешь все незнакомое в гугле - Курилка

Троян Pinch. Хочу предостеречь всех.

bs1 · 2006-12-17T18:14:37.0000000Z

Решил создать эту тему в продолжение своего поста, попросили в параллельной ветке про воровство паролей. Недавно мне по аське написал один человек под видом потенциального клиента, хотел заказать некоторые услуги и предложил посмотреть презентацию, в ответ я сообщил ему мыло. Туда было отправлено сообщение с вложенным архивом, в котором находился исполняемый файл презентация.exe, что меня сразу же насторожило. Поэтому решил открыть отдельно на ноутбуке... После запуска ноутбук немного подвис, я сразу понял что что-то не так и выдернул сетевой шнур, но было позно (прошло 2-3 секунды). Первое что случилось - на настольном компьтере разлогилась аська, при попытке подключиться выдавало: введен неверный пароль. Скажу честно, меня сразу же кинуло в холодный комп, т.к. о троянах и воровстве паролей я знаю непонаслышке. Я сразу же кинулся на icq.com в сервис по восстановлению паролей, благо ранее ставил два дополнительных личных вопроса о любимом ресторане и имени домашнего питомца :). Пароль восстановил, вошел в аську. Тот же самый человек мне тут же написал, что я попал и мне прийдется заплатить, если я хочу "чтобы все мое осталось моим". Я понял что у меня слили всю личную информацию с ноутбука (логины и пароли). Что делать? Для начала я стал тянуть время, общаясь с вымогателем, спросил его сколько он хочет, на что он ответил, что я сам должен предложить цену. Я говорю, чтобы определить цену мне нужно знать какие конкретно данные ему удалось слить. В итоге он мне прислал лог-файл, который сливается трояном, как ни странно он его оставил в том же виде, как выдает программа с трояном. Я стал тянуть время тянуть время, задавая вымогателю дополнительные вопросы в надежде вытянуть как можно больше полезной информации, трудно описать мое состоянее в этот момент, я очень хотел, чтобы этот человек оказался рядом, в голову лезли мысли чтобы я с ним сделал :madd:. Дело в том, что на моих компьютерах хранятся пароли от более чем 400 сайтов, бОльшая часть из них - коммерческие сайты компаний, госорганизаций. Параллельно я стал менять все пароли (настольный комп остался незараженным), смотря по лог файлу. По нему я посмотрел, что у злоумышленника были пароли от 2х шестизнаков (icq), пароли к моим почтовым ящикам, и к данные по доступу к 14-ти сайтам! Лог файл представляет из себя html-страничку, естественно я открыл её в исходном коде, в title страницы был текст Pinch log Parser (неточно). По этим данным мне удалось найти описание этого зверька: Pinch, написан на ассемблере. Ни один сорвеменный антивирус его не определяет. Зараза прикрепляется к любому исполняемому файлу и после запуска сливает злоумышленнику все логи ваших броузеров и агентов icq, происходит это в считанные секунды. Таким образом хакеру достаются ваши пароли от асек, почты, сайтов и все что связано с вводом данных на формах. Заразу вычислить очень трудно (Outpost Firewall, Касперский, NOD32, Norton и т.п.), ничто не поможет. Троян маскируется под системный процесс, обычно связанный с интернетом. Вылечить можно двумя способами: 1) Отформатировать винт 2) Найти сам файл троян (обычно он лежит в папке Windows или Windows/system32), как раз мне это удалось. В итоге я все-таки нашел и обезвередил вирус, восстановил и сменил все пароли, хакер тоже не терял время... Вся эта ситуация вылилась в дефейс 3х сайтов, один был полночтью удален. Но все было восстановлено в течение 5 минут. По логам сломанных сайтов я определил IP-адрес этого человека, естественно это был анонимный-proxy, находящийся в Японии, но вычислить IP-все равно можно, у любого proxy-сервера есть лог, в котором хранятся реальный данные всех юзеров, пользовавшихся сервером. Написал письмо в эту компанию, естественно ответа нет, нужны полномочия (например, если бы я был агнетом интерпола, 100% ответили бы!). Вымогатель ничего не зная, продолжал требовать деньги... Также из разговора мне стало известно, что ему же удалось подсунуть трояны ОГРОМНУЮ ЧИСЛО ПОЛЬЗОВАТЕЛЕЙ, в их числе один известный питерский хостинг (название которого я выдавать не буду по понятным причинам), мне предложили купить базу их клиентов и скрипты биллинговой панели. Теперь (сменив все пароли) я занял более уверенную позицию и написал ублюдку (по другому не могу), что собрал все необходимые данные и скоро мы с ним увидимся и скорее всего после встречи со мной ему прийдется посидеть в тюрьме. После этого этот товарищ пропал и перестал отвечать на мои сообщения. Я связался с питерской компанией (о которой писал выше), они мне поведали свою историю, от которой я наверное мягко говоря впал в шоковое состояние :eek: . У них похитили все данные, угнали аську. С этой аськи по всем клиентам отправили сообщение, что сотрудник поддержки тяжело болен и ему срочно нужна операция. В послании также указывали кошелек webmoney, на который просили перевести деньги. Многие клиенты отправили... Уфф честно скажу устал писать, продолжу позже. Если кому нужна помощь, обращайтесь, попробую помочь найти данные троян обезвредил его раз, думаю получиться снова. Самое главное правило: НЕ ОТКРЫВАЙТЕ ИСПОЛНЯЕМЫХ ФАЙЛОВ (.exe и .com) пришедших по почте. Ваши комментарии?

ШO

375

ШАНС-ON

17 декабря 2006, 18:37

#11

bs1:
потенциальный клиент

А ведь с форума, мразь.

2542

The WishMaster

17 декабря 2006, 22:26

#12

Вот не понимаю... если троян виден в списке процессов, то фиг ли разница, палится он антивирусами или нет? Разве сложно его увидеть? Если сложно, то клиника:)

За предупреждение спасибо.

Кому старенького креативного копирайтера? Тематики - туризм, СЕО, творчество, кулинария, шизотерика :)

51

bs1

17 декабря 2006, 22:38

#13

палится он антивирусами или нет? Разве сложно его увидеть?

Каждый злоумышленник называет процесс по своему, может класть тоже в свою папку.

85

-=maverick=-

17 декабря 2006, 22:54

#14

А как инфа уехала - почему файрвол не зазвонил про новый конект ? Спасибо за инфу !!!

2542

The WishMaster

17 декабря 2006, 23:44

#15

bs1:
Каждый злоумышленник называет процесс по своему, может класть тоже в свою папку.

Ну и что? Смотришь список процессов, видишь незнакомый - убиваешь. Если не уверен, проверяешь все незнакомое в гугле. И методом исключения определяешь троян. Если и после этого не уверен - не удаляй, а перемести и переименуй.

51

bs1

18 декабря 2006, 00:10

#16

-=maverick=-:
А как инфа уехала - почему файрвол не зазвонил про новый конект ? Спасибо за инфу !!!

Точно я не знаю, но читал, что троян шифруется под системный процесс, которому уже разрешены операции с сетью

The WishMaster:
Ну и что? Смотришь список процессов, видишь незнакомый - убиваешь. Если не уверен, проверяешь все незнакомое в гугле. И методом исключения определяешь троян. Если и после этого не уверен - не удаляй, а перемести и переименуй.

1) Не все держат в памяти список процессов...

2) Я повторюсь, троян имел такое же название как и системный.

113

Serg_Kotov

18 декабря 2006, 00:25

#17

Топикстартер любезно согласился дать мне вирус на пробу...

Лицензионный, весьма уважаемый мною Dr.Web со свежайшими базами его прошляпил.....

Делайте выводы, господа.

P.S.

Проверка файла онлайн-методом (путем посылки на спец. сервис DrWeb'a) также ничего не выявила.

Обзоры компьютерных железок (http://www.device-review.ru/)

85

-=maverick=-

18 декабря 2006, 00:33

#18

Serg_Kotov:
Топикстартер любезно согласился дать мне вирус на пробу...
Лицензионный, весьма уважаемый мною Dr.Web со свежайшими базами его прошляпил.....
Делайте выводы, господа.

P.S.
Проверка файла онлайн-методом (путем посылки на спец. сервис DrWeb'a) также ничего не выявила.

ну антивирусники понятно. Как файрвол проходит ?

2542

The WishMaster

18 декабря 2006, 00:34

#19

Serg_Kotov, можно файлик на wish3000@mail.ru ?:)

113

Serg_Kotov

18 декабря 2006, 00:38

#20

The WishMaster, вы не поверите, но пока я не зашифровал архив, SMTP.mail.ru упорно не хотел его пропускать!

Стало быть, ловит?..

Что делать, если ваша email-рассылка попала в спам

Дзен реализовал для авторов возможность вывода денег через СПБ

Троян Pinch. Хочу предостеречь всех.