Как меня взломали

Здравствуйте, уважаемые посетители форума! Хотелось бы рассказать о том, как меня взломали: что украли, что натворили и самое главное – как именно это сделали.

Защита была – антивирус Avast (о нем ниже…) и файрвол Commodo Personal. Я сижу через обычный модем. И вот в один чудный день заметил, что модем набирает номер, причем не шестизначный, а намного больше, причем набирает в тоновом режиме. Помимо того, что у меня всегда был импульсивный набор, я заметил с помощью программы Statist XP (Спасибо создателям, что сделали функцию « «имя соединения» скоро подключится») увидел, что процесс соединения происходит через неизвестное мне подключение. Это был вирус, который создавал подключение к Интернету через международное соединение, в результате счет мог бы придти в десятки тысяч рублей. Хорошо, что я как-то давно в газете прочел об этом заметку.

Я, понимая, что компьютер заражен, обновляю Аваст (база была итак свежая, но решил подстраховаться). Запускаю проверку, Аваст ловит вирус и удаляет его. Все, неизвестное подключение больше не беспокоило, но на всякий случай сейчас прислушиваюсь к количеству набираемых цифр и отключил набор на «8».

Через несколько часов Commodo Firewall Pro заметил то, что csrss.exe (стандартный системный процесс) просил выхода в Интернет, чего никогда не было. Я, не обращая внимания (дурак :) ), разрешаю доступ…

Все идет хорошо, но Вот 11 июня работаю, но запустил оперу (с которой почти не работаю) и вошел в наш сео-чат.

Вдруг замечаю, что в опере, всплывает небольшое окошечко с сообщением, в котором на английском написано (запомнил перевод): «обновление виндоус подготовлено, пройдите по ссылки внизу». Я итак не был заинтересован в обновлении, к тому же ссылки не было, поэтому даже не обращал внимание. Но через несколько минут, в ИЕ всплыло сообщение, похожее на ошибку, там было написано «Привет». Сразу же я сообразил, что кто-то «тырит» файлы с компьютера, видит то, что вижу Я и фиксирует нажатие клавиш на клавиатуре (понял, что это старинный способ – нечто вроде Backdoor Anti-Lamer). Да и к тому же, за полчаса до этого сообщения – я попытался войти в свой кипер, но безуспешно. Кипер долго думал на статусе «Подключение. Проверка настроек безопасности» и ничего дальше не делал, хотя приложение не зависало.

Я, в очередной раз, обновляю Аваст, пытаюсь убить csrss.exe, блокирую айпи, к которому этот процесс подключается к Интернету. Сканю Авастом, вирус нет…

Сам не знаю почему, за 3 дня до этого решил ставить антивирус Касперского 6 версии. В этот злополучный день как раз скачал его, только 7ой версии.

После того, как произошла «беда» (как забанил айпи злоумышленника), снес Аваст, снес Комодо, установил Касперского, обновил его, установил Оутпост.

Очень часто у меня по всему компьютеру появлялись файлы с кривыми названиями, например, «oSwd31DWe.exe». Ясно, чт0 это – вирус, я не трогал эти экзешники, сканировал их Авастом, он молчал… Касперский же сразу увидел эти файлы, определил, что в них Трояны. Но я ведь эти файлы не трогал, не запускал.

Проверил csrss.exe: Касперский нашел внутри него, *барабанная дробь* - виновника проблемы – Пинч :). После скана всего компа было убито еще несколько Троянов, бэкдуров и 3 файла, зараженных пинчем.

Ладно, если бы взломал какой-нибудь крутой хакер, а ведь это школьник, простым пинчем… Я, конечно, понимаю, что тут моя вина, но возникает риторический вопрос: «Почему Avast! С обновленной базой не поймал и не убил Трояны и пинч?» Может быть, потому что это фриварная версия для хоум-юзанья?..

Уверен, что тот, кто не поленился и прочитал все выше написанное, задается вопросом: «А зачем он все это написал?». Отвечаю: Помню, было уже и на этом форуме несколько тем, в т.ч. тема Kislov`a, но Я не обратил никакого внимания, ведь я же не дурак…

Так я думал до этого случая.

К тому же, я не пиарю Касперский, я лишь хочу сказать, что вот как мне «помог» Аваст...

Еще один из очевидных вопросов: «А каковы потери?». Для ответа на этот вопрос расскажу немножко о себе: Зарабатывать в сети начал полтора-месяца назад. Сначала друг подарил домен и предоставил хостинг, я сделал сайт, причем без цели заработка. Потом, когда сделал еще один, узнал, что есть люди, покупающие подобный сайты. Продал эти 2 сайта за 80-90$ (не помню точно). Дальше – лучше. Узнал о сателлитах, сделал примерно 25 штук. На все вырученные деньги взял себе хостинг, купил кучу доменов, заказывал прогоны по автобазам, купил ССТ, Олсабминтер, заказывал прогоны по 1пс. Все хорошо, дошел в САПЕ до 5$ в день…

За день до «происшествия» на кошельке было ~700р, ~70$. К счастью, 25$ потратил на хостинг. Получается, что «кулхацкер» укал ~2000 рублей. Для многих на форуме это мелкая сумма, а для меня это часть стартого капитала :). Но я не расстроился, так как сумму верну через 15-20 дней, а вот опыт получил большой.

А как я уже говорил, я игнорировал подобные темы, и не использовал этой мысли «Дурак учится на своих ошибках, а умный на чужих» :) Этот случай заставил меня быть более внимательным к защите своего «имущества».

Поэтому так же хочу спросить: как можно защититься о взлома, кроме использования антивируса+файрвола? Где хранить пароли? Как вводить пароли: ловят ли кейлоггеры и шпионы использование «Экранной клавиатуры» (стандартные-специальные возможности – экранная клавитура) – нажатие мышкой по клавишам на ней? Поможет ли использование «хайдеров» - например Hide Folders XP или будет работать только на компьютере с установленной программой?

P.S. в Тотал Коммандере, в браузерах было сохранено много паролей (от форуме, от САПЕ, от почты). Злоумышленник не тронул аську, маилов, сайты (пока еще проверяю) – возможно, его цель была лишь Кошелек. :D