Проверьте системные процессы на наличие подозрительных файлов с датой создания в день заражения - Курилка

Троян Pinch. Хочу предостеречь всех.

bs1 · 2006-12-17T18:14:37.0000000Z

Решил создать эту тему в продолжение своего поста, попросили в параллельной ветке про воровство паролей. Недавно мне по аське написал один человек под видом потенциального клиента, хотел заказать некоторые услуги и предложил посмотреть презентацию, в ответ я сообщил ему мыло. Туда было отправлено сообщение с вложенным архивом, в котором находился исполняемый файл презентация.exe, что меня сразу же насторожило. Поэтому решил открыть отдельно на ноутбуке... После запуска ноутбук немного подвис, я сразу понял что что-то не так и выдернул сетевой шнур, но было позно (прошло 2-3 секунды). Первое что случилось - на настольном компьтере разлогилась аська, при попытке подключиться выдавало: введен неверный пароль. Скажу честно, меня сразу же кинуло в холодный комп, т.к. о троянах и воровстве паролей я знаю непонаслышке. Я сразу же кинулся на icq.com в сервис по восстановлению паролей, благо ранее ставил два дополнительных личных вопроса о любимом ресторане и имени домашнего питомца :). Пароль восстановил, вошел в аську. Тот же самый человек мне тут же написал, что я попал и мне прийдется заплатить, если я хочу "чтобы все мое осталось моим". Я понял что у меня слили всю личную информацию с ноутбука (логины и пароли). Что делать? Для начала я стал тянуть время, общаясь с вымогателем, спросил его сколько он хочет, на что он ответил, что я сам должен предложить цену. Я говорю, чтобы определить цену мне нужно знать какие конкретно данные ему удалось слить. В итоге он мне прислал лог-файл, который сливается трояном, как ни странно он его оставил в том же виде, как выдает программа с трояном. Я стал тянуть время тянуть время, задавая вымогателю дополнительные вопросы в надежде вытянуть как можно больше полезной информации, трудно описать мое состоянее в этот момент, я очень хотел, чтобы этот человек оказался рядом, в голову лезли мысли чтобы я с ним сделал :madd:. Дело в том, что на моих компьютерах хранятся пароли от более чем 400 сайтов, бОльшая часть из них - коммерческие сайты компаний, госорганизаций. Параллельно я стал менять все пароли (настольный комп остался незараженным), смотря по лог файлу. По нему я посмотрел, что у злоумышленника были пароли от 2х шестизнаков (icq), пароли к моим почтовым ящикам, и к данные по доступу к 14-ти сайтам! Лог файл представляет из себя html-страничку, естественно я открыл её в исходном коде, в title страницы был текст Pinch log Parser (неточно). По этим данным мне удалось найти описание этого зверька: Pinch, написан на ассемблере. Ни один сорвеменный антивирус его не определяет. Зараза прикрепляется к любому исполняемому файлу и после запуска сливает злоумышленнику все логи ваших броузеров и агентов icq, происходит это в считанные секунды. Таким образом хакеру достаются ваши пароли от асек, почты, сайтов и все что связано с вводом данных на формах. Заразу вычислить очень трудно (Outpost Firewall, Касперский, NOD32, Norton и т.п.), ничто не поможет. Троян маскируется под системный процесс, обычно связанный с интернетом. Вылечить можно двумя способами: 1) Отформатировать винт 2) Найти сам файл троян (обычно он лежит в папке Windows или Windows/system32), как раз мне это удалось. В итоге я все-таки нашел и обезвередил вирус, восстановил и сменил все пароли, хакер тоже не терял время... Вся эта ситуация вылилась в дефейс 3х сайтов, один был полночтью удален. Но все было восстановлено в течение 5 минут. По логам сломанных сайтов я определил IP-адрес этого человека, естественно это был анонимный-proxy, находящийся в Японии, но вычислить IP-все равно можно, у любого proxy-сервера есть лог, в котором хранятся реальный данные всех юзеров, пользовавшихся сервером. Написал письмо в эту компанию, естественно ответа нет, нужны полномочия (например, если бы я был агнетом интерпола, 100% ответили бы!). Вымогатель ничего не зная, продолжал требовать деньги... Также из разговора мне стало известно, что ему же удалось подсунуть трояны ОГРОМНУЮ ЧИСЛО ПОЛЬЗОВАТЕЛЕЙ, в их числе один известный питерский хостинг (название которого я выдавать не буду по понятным причинам), мне предложили купить базу их клиентов и скрипты биллинговой панели. Теперь (сменив все пароли) я занял более уверенную позицию и написал ублюдку (по другому не могу), что собрал все необходимые данные и скоро мы с ним увидимся и скорее всего после встречи со мной ему прийдется посидеть в тюрьме. После этого этот товарищ пропал и перестал отвечать на мои сообщения. Я связался с питерской компанией (о которой писал выше), они мне поведали свою историю, от которой я наверное мягко говоря впал в шоковое состояние :eek: . У них похитили все данные, угнали аську. С этой аськи по всем клиентам отправили сообщение, что сотрудник поддержки тяжело болен и ему срочно нужна операция. В послании также указывали кошелек webmoney, на который просили перевести деньги. Многие клиенты отправили... Уфф честно скажу устал писать, продолжу позже. Если кому нужна помощь, обращайтесь, попробую помочь найти данные троян обезвредил его раз, думаю получиться снова. Самое главное правило: НЕ ОТКРЫВАЙТЕ ИСПОЛНЯЕМЫХ ФАЙЛОВ (.exe и .com) пришедших по почте. Ваши комментарии?

2542

The WishMaster

18 декабря 2006, 00:49

#21

Ловит, конечно.

http://www.virustotal.com/vt/en/resultadof?50195d33306e536ba2552ccc9ad5b106

Этот сайт всех ловит:) Им и надо проверять подозрительные файлы

Кому старенького креативного копирайтера? Тематики - туризм, СЕО, творчество, кулинария, шизотерика :)

113

Serg_Kotov

18 декабря 2006, 00:57

#22

The WishMaster, спасибо за любопытную ссылку, оказалось для меня приятной неожиданностью увидить такое скопление онлайн вирь-проверок в одном месте!

Обзоры компьютерных железок (http://www.device-review.ru/)

51

bs1

18 декабря 2006, 01:06

#23

Отлично!

Думаю, можно подвести итог:

1) Не открывайте подозрительных исполняемых файлов.

2) Если в этом нет необходимости проверьте их на:

The WishMaster:

http://www.virustotal.com/vt/en/resultadof?50195d33306e536ba2552ccc9ad5b106
Этот сайт всех ловит

3) Если все-таки компьютер заражен:

- Смените все пароли (используя незараженный компьютер)

- Проверьте системные процессы на наличие новых подозрительных

- Проверьте системные папки на новые файлы (с датой создания в день заражения)

Всем большое спасибо за поддержку.

Отдельный респект The WishMaster и Serg_Kotov.

180

grey109

18 декабря 2006, 07:50

#24

bs1:
благо ранее ставил два дополнительных личных вопроса о любимом ресторане и имени домашнего питомца

А где это можно сделать? Я что-то на сайте аське не нашел.

814

stryker

18 декабря 2006, 07:59

#25

Страшно жить становится... скоро надо будет хранить все пароли не на компе, а на телефоне например... или ещё где-нибудь. В записной книжке ;). Уверен, что многие именно так и делают :+/

► Лучший хостинг для сайтов ( https://vk.cc/a9FN77 )

G

15

Gyrus

18 декабря 2006, 21:44

#26

А можно и мне, если не затруднит, экземпляр прислать на lab2002 [at] gmx [dot] net?

321

Zonk

18 декабря 2006, 22:04

#27

Топикстартеру спасибо за предупреждение. Интересно, ловится ли он Нортоном 2007.

Не рекомендую слать этот файл кому попало, т.к. кто-то может его использовать по назначению - если он попадет в плохие руки.

Влияют ли сезонные изменения Ищу абузоустойчивый VPS Конкуренты заливают не целевой

53

gl_SPICE

18 декабря 2006, 22:14

#28

stryker:
оро надо будет хранить все пароли не на компе, а на телефоне например... или ещё где-нибудь. В записной книжке

На обоях дома, или на клаве с обратной стороны. Фиг кто их трояном стащит :). Сейчас хранить пароли на компе, подключённом к И-нету опаснее, чем в открытом виде на бумажке :).

Товаровед.инфо — помощь в выборе качественных товаров и услуг (http://www.tovaroved.info/)

113

Serg_Kotov

18 декабря 2006, 23:41

#29

Продолжение темы злобливого вируса.

Сразу после того как мой ненаглядный DrWeb не отловил эту гадость, зараженный вирус был послан на исследование разработчикам.

Буквально через несколько часов пришёл ответ -

Ваш запрос был проанализирован. Запись о новом вирусе добавлена в базу.
Вирус: Trojan.MulDrop.4893.

Спасибо за сотрудничество.

--
С уважением,
Служба вирусного мониторинга ООО "Доктор Веб"

Вывод - Паук хоть и прошляпил в первый раз вирусню, но все-же исправился.

Повторная проверка после обновления баз показала наличие виря, и файл был безжалостно затерт.

Happy End!

eTarget 2011:Панельная дискуссия «Стратегия eTarget 2011: Круглый стол Могут ли «плохие» входящие

V

93

Vann

20 декабря 2006, 07:39

#30

внимание мошенники. Кидала владелец сайта http://www.pinch3.ru/ аська

123555. Вся информация на сайте - обман.

--------------- Сайтеса (http://sitesa.ru) - первый антивирус для сайтов, скажите "нет" взлому!

Все что нужно знать о DDоS-атаках грамотному менеджеру

В 2023 году 36,9% всех DDoS-атак пришлось на сферу финансов

Троян Pinch. Хочу предостеречь всех.