буквально вчера. у одного знакомого увели с карточки сумму в несколько тысяч.
при рассмотрении компа обнаружен процесс явно бандитского названия. ни дрвебом, ни касперским не определяется. блокирует попытки прервать процесс из таскменеджера и фара. exe находится в каталоге автозапуска, переименовать себя не даёт. блокирует запуск а) process explorer б) окна с настройками дрвеба.
в настройках браузера (оперы) обнаружена установка на файл автонастройки прокси, лежащий на http://... (адрес не упомнил). посмотрел файл автонастройки -- "если http:// = адрес регистрационной страницы банка, то прокси по такому-то адресу:порту". Отдаётся страница, очень похожая на банковскую, различие в миллиметрах. В общем, ясно.
Загрузился с ливцд, снёс мерзавца, перегрузился, проверил процессы, на всякий случай целый день гонял доступными антивирусами -- всё чисто.
Настораживает сильно целевая атака -- скрипт прокси заточен именно под тот банк, с которым знакомый начал работать. систему я на его комп ставил 5 дней назад, ессно, была чистой. Очень похоже, что мерзавец был именно с сайта банка и загружен.
Такие дела.
exeшник сохранил, скрипты-адреса тоже записаны. Буду в следующий раз у знакомого -- отправлю гада дрвебу на растерзание.
no subject
Date: 2012-Jun-03, Sunday 21:39 (UTC)при рассмотрении компа обнаружен процесс явно бандитского названия. ни дрвебом, ни касперским не определяется. блокирует попытки прервать процесс из таскменеджера и фара. exe находится в каталоге автозапуска, переименовать себя не даёт. блокирует запуск а) process explorer б) окна с настройками дрвеба.
в настройках браузера (оперы) обнаружена установка на файл автонастройки прокси, лежащий на http://... (адрес не упомнил). посмотрел файл автонастройки -- "если http:// = адрес регистрационной страницы банка, то прокси по такому-то адресу:порту". Отдаётся страница, очень похожая на банковскую, различие в миллиметрах. В общем, ясно.
Загрузился с ливцд, снёс мерзавца, перегрузился, проверил процессы, на всякий случай целый день гонял доступными антивирусами -- всё чисто.
Настораживает сильно целевая атака -- скрипт прокси заточен именно под тот банк, с которым знакомый начал работать. систему я на его комп ставил 5 дней назад, ессно, была чистой. Очень похоже, что мерзавец был именно с сайта банка и загружен.
Такие дела.
exeшник сохранил, скрипты-адреса тоже записаны. Буду в следующий раз у знакомого -- отправлю гада дрвебу на растерзание.
"Бди!" (с) К.Прутков