->

суббота, 4 мая 2013 г.

Троян - похититель паролей.

Сегодня попытался зайти в одноклассники, но мне было выдано сообщение, что страница моя взломана, и мне надо ввести мобильный телефон, чтобы активировать страницу.
Не скрою, затупил и вписал туда свой телефон. Естественно страница не разблокировалась, так как "телефон не поддерживает" данную услугу. В общем странные отмазки понеслись своей чередой.
Теперь жду что будет с балансом мобильника :). Пока новостей по подпискам нет.
В итоге, вспомнил молодость и таки проверил комп на наличие вирусов.
Получилось достаточно банально.

Проверка файла hosts в явном виде ничего не дала. Лишних записей не было, на первый взгляд... :))
Проверка системы при помощи AVZ показала, что hosts все таки изменен.
Были добавлены записи:


127.0.0.1 localhost
127.0.0.1 netdostupa.com webmurk.ru diazoom.ru workandtalk.ru adminimus.ru ok-anonimaizer.ru
127.0.0.1 anonim.do.am unboo.ru raskruty.ru timp.ru vhodilka.ru dostyp.ru
127.0.0.1 urlbl.ru dardan.ru nekontakt2.ru nezayti.ru xy4-anonymizer.ru v.vhodilka.ru
127.0.0.1 hellhead.ru obhodilka.ru websplatt.ru neklassniki.ru cameleo.ru webvpn.org
127.0.0.1 nonymizer.ru waitplay.ru antiblock.ru jelya.ru pinun.ru o.vhodilka.ru
127.0.0.1 dostupest.ru spoolls.com anonimix.ru razblokirovatdostup.ru anonim.ttu.su
37.10.117.101 vk.com wap.odnoklassniki.ru m.odnoklassniki.ru m.vk.com www.odnoklassniki.ru odnoklassniki.ru my.mail.ru


При это страница в одноклассниках НЕ БЫЛА ВЗЛОМАННОЙ. После удаления вируса преспокойненько зашел на страницу, и впервым делом сменил логин и пароль.
да да, логин надо тоже менять, потому как имея на руках логин страниу в одноклассниках взломать довольно просто.

И естественно после пристальной проверки нашелся таки паразит, который висел в памяти и подменял hosts.

Сидит паразит изначально в папке C:\Users\"Ваша учетная запись".
Имя паразиту:
1287808.exe
Если увидите в папке что нибудь подобное - удаляйте без зазрения совести, и Unlocker Вам в помощь.

Далее необхдимо провести чистку копьютера, хотя бы системного диска, при помощи любой из утилит: CureIt!, AVZ, или любой другой, приятной Вам.

Drweb распознал данный вирус как Trojan.PWS.Stealer.1932
Касперский распознал как Trojan-PSW.Win32.Tepfer.jkal

Адрес 37.10.117.101 отправил в адрес программы AdGuard, так что данный фишинг пользователям программы уже не страшен.