ZJIŠTĚNÍ HESLA

[Čarls]

C:\Documents and Settings\Jenda\upd.exe dejte odeslat do zipu
a zabalený soubor pošlete přes http://leteckaposta.cz/ link na S Zpravu odpoledne až přijdu z prace se na něj podívám snad zjistím k jakýmu programu patří
Druhou kopii vražte sem http://www.viry.cz/forum/viewtopic.php?f=15&t=30935

[jenanek]

Postupoval jsem podle návodu ke skenování s tímto programem.Je tam znázorněn rychlý.Omlouvám se.
K to mu souboru je jen toto: WindowsFormsApplication1. Je to něco od Microsoftu.Jdu na ten log

[jenanek]

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Verze databáze: 4326

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

20.7.2010 11:32:21
mbam-log-2010-07-20 (11-32-21).txt

Typ skenu: Úplný sken (C:\|)
Skenované objekty: 238311
Uplynulý čas: 52 minuta(y), 58 sekunda(y)

Infikované procesy v paměti: 1
Infikované moduly v paměti: 0
Infikované klíče registru: 0
Infikované hodnoty registru: 0
Infikované datové položky registru: 0
Infikované složky: 0
Infikované soubory: 1

Infikované procesy v paměti:
C:\Documents and Settings\Jenda\upd.exe (Trojan.Agent) -> No action taken.

Infikované moduly v paměti:
(Žádné škodlivé položky nebyly zjištěny)

Infikované klíče registru:
(Žádné škodlivé položky nebyly zjištěny)

Infikované hodnoty registru:
(Žádné škodlivé položky nebyly zjištěny)

Infikované datové položky registru:
(Žádné škodlivé položky nebyly zjištěny)

Infikované složky:
(Žádné škodlivé položky nebyly zjištěny)

Infikované soubory:
C:\Documents and Settings\Jenda\upd.exe (Trojan.Agent) -> No action taken.

[vyosek]

Takze nic noveho...pockame tedy na co kolega Čarls prijde

[Čarls]

Podle mne jestli vam tam něco propašoval bude to ono
Stahněte Unlocker a odpalte ten soubor přes něj http://www.slunecnice.cz/sw/unlocker/
Nic horšího než že nepujde nějaka aplikace se stat nemuže ta pujde přeinstalovat
zkontaktujeme s vyosek par známych aby soubor ještě podrobněji rozpitvali

Podívejte se do Firewall zda se nehrabal zmíněný soubor na net

Soubor byl vytvořen změněn 4. března 2010, 18:29:02 Kdy začaly tyto vyhružky od "přitele" u Vás ?

[vyosek]

Takze se nam to podarilo diky kolegovi Vrtule rozpitvat a opravdu onen upd.exe je keylogger, takze ho vezmem po hlave necim poradnym

Stahnete Avenger (viz muj podpis)

• Pokud pouzivate Win Vista ci W7, kliknete na Avenger pravym a dejte Run As Administrator ci Spustit jako spravce
• Po spusteni Vas program upozorni, ze vse co delate, delate na vlastni riziko - Dejte OK
• Po potvrzeni uz na Vas koukne hlavni okno, kam vlozite skript, ktery mate nize

• Kód: Vybrat vše

  Files to delete:
  C:\Documents and Settings\Jenda\upd.exe
  C:\Documents and Settings\Jenda\Music\a.exe
  C:\Documents and Settings\Jenda\Music\anzahl.exe
  C:\Documents and Settings\Jenda\Music\seite.exe

• Do ctverecku u Scan for rootkits a Automatically disable any rootkits found dejte fajecku
• Nyni uz kliknete na Execute a potvrdte Yes v nasledujicim okne - timto potvrdite spusteni skriptu
• Na otazku Reboot now odpovezte opet OK - timto se PC restartuje
• Po restartu by se mel otevrit poznamkovy blok s logem a jeho obsah vlozte sem. Pokud se tak nestane, naleznete pozadovany dokument v C:\avenger.txt

[Vrtule]

Zdravím,

jenom udělám takovou vsuvku...

Jak už jsem psal, ten soubor upd.exe vypadá na tzv. downloader – snaží se z určité URL stahovat své kamarády a pak je asi spouští. Bohužel se mi ve virtuální mašině nechce rozběhnout, takže to nemůžu říct jistě. Prostě tam jen "visí" proces upd.exe a nic jiného se neděje.

Kradení hesel
Pokud si necháváte ukládat hesla do prohlížeče (či jiných aplikací), mohou být ukradena i bez použití keyloggeru. Protože je potom při používání nemusíte zadávat, prohlížeč je musí být schopen samostatně odněkud "vytáhnout" a použít za vás. To samé ale může udělat malware.

Heslo do Windows sice (aspoň doufám) není uloženo nikde v čitelné formě, ale použití hašovací algoritmus nepatří zrovna k nejsilnějším. Tady záleží hodně na síle hesla (počet číslic a jiných znaků, délka), zda jej útočník získá.

[Vrtule]

Omlouvám se, za jistou míru dublování, příspěvky odešly skoro současně...

Jinak jsem všechny soubory poslal na analýzu Aviře, takže by za nějaou dobu mohl být virustotal zajímavější.

[jenanek]

Klobouk dolů,před tím co tady pro mě děláte.Jsem vám vděčný.Díky.
Přesto se poáád nemůžu zbavit dojmu,že to na mě snad jen někdo zkouší a dělá si prču.Nejsem vůbec zajímavý cíl.Moje hesla nevedou k ničemu co by mělo význam.Mám sto chutí tohodle vtipálka taky nějakým podobným zbůsobem rozhodit.Mě tyhle výhružky teda rozhodili.Přijde mi i divný,že jeho mail byl vyloženě na konkrétní jméno frantabaran@seznam.cz.Říká Vám to něco?Přijde mi,že chtěl abych přišel na to,kdo to je.No nic.Udělám a pošlu co jste mi poradili.Mějte se

[jenanek]

Je mi líto,odkaz na Avenger nefunguje

[vyosek]

Ze ma mail na jmeno, no a...na seznamu nikdo totoznost jmena neoveruje Podle rozpitvani souboru to opravdu sranda neni - upd.exe si stahuje jeste dalsi kamarady a ti pak z Vas hesla tahaji...

Provedte skript avengerem (log samozrejme sem) a pak udelame jeste jeden test
Avenger je ke stazeni zde http://download.viry.cz/tools/avenger.zip (thx riff)

[jenanek]

Ptali jste se mě od kdy vyhrůžky jsou.Hned druhý den od přijmutí zprávy jsem založil tohle téma.

[jenanek]

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\Documents and Settings\Jenda\upd.exe" deleted successfully.

Error: file "C:\Documents and Settings\Jenda\Music\a.exe" not found!
Deletion of file "C:\Documents and Settings\Jenda\Music\a.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\Documents and Settings\Jenda\Music\anzahl.exe" not found!
Deletion of file "C:\Documents and Settings\Jenda\Music\anzahl.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\Documents and Settings\Jenda\Music\seite.exe" not found!
Deletion of file "C:\Documents and Settings\Jenda\Music\seite.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

[Vrtule]

Zdravím,

máte ten mail ještě k dispozici? Možná by byla zajímavá jeho hlavička, jestli její obsah dokážete zobrazit a sem v ložit (webové rozhraní Seznamu, stejně jako poštovní klienti, by to mělo umožňovat).

Mailová adresa je celkem nezajímává, protože se dá falšovat. Ale v hlavičce se dá nalézt i IP adresa, která může dost prozradit, je-li zpráva odesílána z poštovního klienta, a tedy přímo z počítače útočníka a ne přes webové rozhraní Seznamu.

[vyosek]

Tak avenger havet smazal...

Po dohode s kolegou Čarlsem jeste udelejte test pomoci AVPToolu - navod od kolegy riffa zde http://viry.cz/forum/viewtopic.php?f=29&t=58179 log rad uvidim

Zkuste jeste co psal kolega Vrtule