Date: 2012-Jun-03, Sunday 21:39 (UTC)
буквально вчера. у одного знакомого увели с карточки сумму в несколько тысяч.

при рассмотрении компа обнаружен процесс явно бандитского названия. ни дрвебом, ни касперским не определяется. блокирует попытки прервать процесс из таскменеджера и фара. exe находится в каталоге автозапуска, переименовать себя не даёт. блокирует запуск а) process explorer б) окна с настройками дрвеба.

в настройках браузера (оперы) обнаружена установка на файл автонастройки прокси, лежащий на http://... (адрес не упомнил). посмотрел файл автонастройки -- "если http:// = адрес регистрационной страницы банка, то прокси по такому-то адресу:порту". Отдаётся страница, очень похожая на банковскую, различие в миллиметрах. В общем, ясно.

Загрузился с ливцд, снёс мерзавца, перегрузился, проверил процессы, на всякий случай целый день гонял доступными антивирусами -- всё чисто.

Настораживает сильно целевая атака -- скрипт прокси заточен именно под тот банк, с которым знакомый начал работать. систему я на его комп ставил 5 дней назад, ессно, была чистой. Очень похоже, что мерзавец был именно с сайта банка и загружен.

Такие дела.

exeшник сохранил, скрипты-адреса тоже записаны. Буду в следующий раз у знакомого -- отправлю гада дрвебу на растерзание.

"Бди!" (с) К.Прутков

This account has disabled anonymous posting.
(will be screened if not validated)
If you don't have an account you can create one now.
HTML doesn't work in the subject.
More info about formatting

If you are unable to use this captcha for any reason, please contact us by email at support@dreamwidth.org