Полезная информация

Юристы зарабатывают огромные деньги и славу, оперируя хорошим знанием законов. Правила форума — простой путь к успешному общению.

№101-02-2009 01:57:26

dobriy_user
Участник
 
Группа: Members
Зарегистрирован: 01-02-2009
Сообщений: 8
UA: Opera 9.6

Пытаются украть пароли/FF 3.05

В диске С, где расположена ХРюша обнаружил файл название которого "blubb.txt"
Вот его содержимое:

Выделить код

Код:

##################################
 #Underground Firefox Stealer v0.2#
 #          by BadboyGER          #
 ##################################

 URL: chrome://wm-notifier/options
 String: autoLogin
 String: 1
 ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
 URL: http://bla-bla-bla
 String: bla-bla-bla@bla-bla-bla.bla
 String: тут пароль
 ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
и так все сайты с данными о логинах и паролей к ним

Чтобы это могло быть? Файл был создан 22 января 2009г. Где лазил именно в это время вспомнить абсолютно не получается.
Я так понял кто-то пытается украсть (steal) мои логины да пароли.
ОС: Винда ХР
Браузер: FF 3.05
Дополнения: wm-notifier, Speeddial, остальные уже не помню. Уважаемые разработчики проясните пожалуйста ситуацию с дальнейшими рекомендациями к пользованию Фаерфоксом.
Премного благодарен!

Добавлено 01-02-2009 02:00:50
Пока что Лису удалил подчистую. Юзаю Оперу до выяснения обстоятельств.

Отсутствует

 

№201-02-2009 02:18:52

Lynn
Кофеман
 
Группа: Members
Откуда: Россия
Зарегистрирован: 16-02-2005
Сообщений: 1721
UA: Firefox 3.0
Веб-сайт

Re: Пытаются украть пароли/FF 3.05

Я бы сказал, что надо провериться на вирусы.


Isn't it ironic... don't you think? — Alanis Morissette

Отсутствует

 

№301-02-2009 05:20:56

about
 
Группа: Guest
UA: IE 6.0

Re: Пытаются украть пароли/FF 3.05

Почему такая уверенность что пытаются украсть? Вполне может быть что уже! И браузер тут, скорее всего, совершенно не причем.
В качестве рекомендаций хм,  это зависит только от Вас лично. Например:  Обязательно проверить систему свежим Dr.Web CureIt (или аналогичный антивирусный сканер),  + дополнительно  AVZ. Обновить/(или удалить и заново инсталлировать)  антивирусное ПО, которым Вы пользуетесь и тоже проверить. Если отсутствует - поставить  Firewall. В Firefox  можете в настройках- защита - глянуть на опцию мастер-пароль. Отключите в настройках все что связанно с  Java. Или, что будет более правильно, скачайте дополнение, которое позволяет управлять активными компонентами. Если не путаю, должен подойти NoScript или нечто аналогичное - смотрите сами, мне данное абсолютно не нужно  так что, конкретно не подскажу. Посмотрите в настройках - Личные данные - я к примеру, при закрытии, удаляю все. Обязательно все пароли ИЗМЕНИТЬ! Обновить  Windows до актуального состояния......  Поковыряйтесь на сайтах посвященных компьютерной безопасности. И тогда поймете, что лично Вам, стоит делать!

 

№401-02-2009 11:32:11

dobriy_user
Участник
 
Группа: Members
Зарегистрирован: 01-02-2009
Сообщений: 8
UA: Opera 9.6

Re: Пытаются украть пароли/FF 3.05

Lynn, about,
Спасибо, что откликнулись. У меня щас стоит KIS 7 с обновлениями по нынешний день. Никогда не жаловался. Ибо быстро вылавливал пролезающую каку с инета.
Сам я грешу на левые дополнения?? Такое может быть, что какое-нибудь дополнение, показывающее снаружи что он какой-то безобидный WebMail Notifier, a на самом деле троянчик например "тырящий" пароли с фаерфокса...
Просто, я думаю, что антивирус не проверяет или не может выявить подозрительные внутренности фаерфокса, так как это вред только внутри проги и остается тем самым незамеченным.

Отсутствует

 

№501-02-2009 12:23:34

Forest
Участник
 
Группа: Members
Откуда: Обнинск
Зарегистрирован: 05-04-2005
Сообщений: 1778
UA: Firefox 3.0

Re: Пытаются украть пароли/FF 3.05

dobriy_user

Сам я грешу на левые дополнения?? Такое может быть, что какое-нибудь дополнение, показывающее снаружи что он какой-то безобидный WebMail Notifier, a на самом деле троянчик например "тырящий" пароли с фаерфокса...

Ну так вроде там так прямо и написано

URL: chrome://wm-notifier/options

.
Хотя конечно это мб и маскировка...


---  ---

Отсутствует

 

№601-02-2009 12:50:16

dobriy_user
Участник
 
Группа: Members
Зарегистрирован: 01-02-2009
Сообщений: 8
UA: Opera 9.6

Re: Пытаются украть пароли/FF 3.05

Ну так вроде там так прямо и написано

Где это написано?? В файле описанном в стартпосте это работа вот этого Mozilla supported/trusted скрипта.
На страничке скрипта 347 положительных отзывов...


Значит все ж дополнения...

Отсутствует

 

№701-02-2009 13:07:06

about
 
Группа: Guest
UA: IE 6.0

Re: Пытаются украть пароли/FF 3.05

dobriy_user

Наличие  пассвордов с логином в  обычном файле, доступном для просмотра и с заголовком BadboyGER - тревожит.  В любом случае, проверяйте систему, поскольку даже наличие постоянно обновляющейся антивирусной программы/комплексных решений не дает 100% гарантию чистоты.  WebMail Notifie откуда скачивали? Попробуйте  настроить WebMail Notifie и посмотрите, не появился ли подозрительный файл снова.

 

№801-02-2009 13:33:46

alla_
Участник
 
Группа: Members
Зарегистрирован: 18-03-2008
Сообщений: 681
UA: Firefox 3.1

Re: Пытаются украть пароли/FF 3.05

Откуда обычно Вы ставите дополнения? Не было ли такого, что ставили дополнения не с addons.mozilla.org?

Отсутствует

 

№901-02-2009 14:06:09

dobriy_user
Участник
 
Группа: Members
Зарегистрирован: 01-02-2009
Сообщений: 8
UA: Opera 9.6

Re: Пытаются украть пароли/FF 3.05

Нагуглил и нашел ту самую злосчастную програмку: и автора, и сам релиз. Глядеть тут
Но там все на немецком, ничего не понятно. Да и способы очистки от этой дряни вряд ли там опишутся. Пишут мол нулевая детекция. Ни Каспер, ни кто-либо другой не видит её.

Detections

a-squared - Nothing found!
Avira AntiVir - Nothing found!
Avast - Nothing found!
AVG - Nothing found!
BitDefender - Nothing found!
ClamAV - Nothing found!
Comodo - Nothing found!
Dr.Web - Nothing found!
Ewido - Nothing found!
F-PROT 6 - Nothing found!
G DATA - Nothing found!
IkarusT3 - Nothing found!
Kaspersky - Nothing found!
McAfee - Nothing found!
MHR (Malware Hash Registry) - Nothing found!
NOD32 v3 - Nothing found!
Norman - Nothing found!
Panda - Nothing found!
Solo Antivirus - Nothing found!
Sophos - Nothing found!
TrendMicro - Nothing found!
VBA32 - Nothing found!
Virus Buster - Nothing found!

Главным образом тырит пароли и логины с фаерфокса.
Мне кажется, разработчики должны забить тревогу...

Отсутствует

 

№1001-02-2009 18:46:31

about
 
Группа: Guest
UA: IE 6.0

Re: Пытаются украть пароли/FF 3.05

А ссылку именно на обсуждение можно. WebMail Notifier многие используют и нареканий таких на дополнение нет. Любопытно - откуда "blubb.txt" взялся. Хотя, в любом случае, наличие паролей в таком виде серьезная угроза. Везет Вам dobriy_user:)

Нет определения автоматически, смотрите сами, есть ли что подозрительное: AnVir Task Manager, AVZ, HijackThis.

 

№1101-02-2009 23:02:12

dobriy_user
Участник
 
Группа: Members
Зарегистрирован: 01-02-2009
Сообщений: 8
UA: Opera 9.6

Re: Пытаются украть пароли/FF 3.05

Написал письмо в техподдержку Касперского. Выявили вот такую штуковину, обещали помочь.
Вот, собственно, само письмо:

Здравствуйте,

underground_firefox_stealer_v0.2_public.exe_ - Constructor.Win32.PWSteal.g

Детектирование файла будет добавлено в следующее обновление.

Пожалуйста, при ответе включайте переписку целиком.
Ответ актуален для последних баз с источников обновлений.

Отсутствует

 

№1202-02-2009 00:09:17

Al_H
Away
 
Группа: Members
Откуда: SPb
Зарегистрирован: 10-06-2005
Сообщений: 5508
UA: Sunrise 1.7

Re: Пытаются украть пароли/FF 3.05

У меня щас стоит KIS 7 с обновлениями по нынешний день. Никогда не жаловался.

Он ловит далеко не всё, см. Поиск на форуме по словам AVG, Касперский - там говорится, чем AVG Free лучше.

Отсутствует

 

№1302-02-2009 00:59:28

about
 
Группа: Guest
UA: IE 6.0

Re: Пытаются украть пароли/FF 3.05

dobriy_user пишет

Выявили вот такую штуковину, обещали помочь... underground_firefox_stealer_v0.2_public.exe_ - Constructor.Win32.PWSteal.g ... [/i]

Отлично. Будете менять пароли?

Так что Вы конкретно отправили в техподдержку. Само дополнение WebMail Notifier, или файл какой подозрительный нашли у себя на ПК и отправили. Расскажите пожалуйста подробнее.

 

№1402-02-2009 11:55:28

Romanych
Забанен
 
Группа: Members
Зарегистрирован: 14-01-2008
Сообщений: 117
UA: Firefox 2.0

Re: Пытаются украть пароли/FF 3.05

Автор темы расскажите подробнее место где вы обнаружили этот текстовый файл Не в корневом же диске С   Вы думаете, что воровалось именно с помощью firefox и из-за использования расширений.. Очень важно выявить механизм--касперский и подобные только вирусы по базе определяет, а изменись чуть код и всё.. Надо бы всерьёз подумать как он это делает

Главным образом тырит пароли и логины с фаерфокса

А как? Из сохранённых паролей, при серфинге, ли вообще как кейлоггер какой-нибудь?

Отсутствует

 

№1503-02-2009 22:34:17

ad109
Участник
 
Группа: Members
Зарегистрирован: 09-01-2005
Сообщений: 215
UA: IE 6.0

Re: Пытаются украть пароли/FF 3.05

Видно, автор темы не успел:) 
Пользователи Касперского с актуальными базами, устройте проверку  файла дополнения WebMail Notifier.

Отсутствует

 

№1603-02-2009 22:56:44

Duble3
... came out of nowhere ...
 
Группа: Members
Откуда: THE DARK SIDE OF THE EARTH
Зарегистрирован: 02-02-2009
Сообщений: 372
UA: Safari 3.2
Веб-сайт

Re: Пытаются украть пароли/FF 3.05

Результат проверки данного файла на Virus Total
http://radikal.ru/F/s60.radikal.ru/i170 … 7.png.html
Видно эту заразу подцепили где-то в другом месте, а она просто внедрилась в это расширение.
З.Ы. Каспер молчит.

Отредактировано Duble3 (03-02-2009 22:58:02)


Если кругом одни пешки - это вовсе не означает, что ты король.

Отсутствует

 

№1704-02-2009 00:08:29

Phoenix
Paranoid Android
 
Группа: Extensions
Откуда: Королевство Кривых
Зарегистрирован: 13-08-2007
Сообщений: 429
UA: Firefox 3.0
Веб-сайт

Re: Пытаются украть пароли/FF 3.05

Настройки какие у KIS7? Даже если этой дряни нет в сигнатурах, могла сработать эвристика, а если дрянь маскируется - углублённый поиск руткитов. Используя максимальную защиту, проверьте весь винчестер.

Вот я тут советую, а сам по неосторожности тоже трояна подцепил, причём не знаю, когда, и не знаю, где. Тоже какой-то воришка паролей, правда детального описания не нашёл. KAV 2009 его сразу вычислил и удалил, вот только я слишком долго антивирус не запускал... страшно, вдруг что случится теперь... :(

Отредактировано Phoenix (04-02-2009 00:12:56)


[I speak to machines with the voice of humanity]

Отсутствует

 

№1804-02-2009 00:20:32

dobriy_user
Участник
 
Группа: Members
Зарегистрирован: 01-02-2009
Сообщений: 8
UA: Firefox 3.0

Re: Пытаются украть пароли/FF 3.05

Это не WebMail Notifier. Я же в предыдущем посте писал, что это не он. Куча положительных отзывов, да и проверки на чистом фаерфоксе не выявили ничего подозрительного.
Я уже разобрался что это было: это эксплоит, написанный каким-то фашистом из Германии, который (каким образом понятия не имею) обрабатывает профиль в Фаерфоксе и тщательно все экспортирует все логины, пароли и на каких сайтах они были введены в текстовой файл, который находится именно в корневом диске, где установлена Винда (да да, я об "C:\"). Далее затем передает этот текстовой файл на удаленный FTP-сервер и дело в шляпе. Ес-но ему будет пофиг на вашу почту, на аккаунт на лавплэнет.ру. Ему гораздно интереснее рыба по-крупнее, напр WebMoney, введенные данные на сайте вашего банка и т.д. и т.п.
Я отправил этот эксплоит в техподдержку Касперского, как я писал выше, и противоядие уже включили в обновление от 2 февраля. Вроде бы проблема решена. Но покопавшись глубоко в гугле обнаружил что таких программок огромное количество. И по одной штучке отправлять в Касперский это как бы не выход. Нужно искать че-нить  принципиально новый метод решения борьбы с вредителями.
Где подцепил эту фигню не знаю и не помню.
Всё, вроде отписался...

Отсутствует

 

№1904-02-2009 17:15:37

ad109
Участник
 
Группа: Members
Зарегистрирован: 09-01-2005
Сообщений: 215
UA: IE 6.0

Re: Пытаются украть пароли/FF 3.05

Спасибо.  Теперь понятно.

dobriy_user пишет

... который (каким образом понятия не имею) обрабатывает профиль в Фаерфоксе и тщательно все экспортирует все логины, пароли и на каких сайтах они были введены в текстовой файл...

А вот меня интересует другое. Возможно ли, что для "экспорта" приватных регистрационных  данных пользователя,  использовалась некая уязвимость в дополнении WebMail Notifier. Или же наличие в txt  строки с  "wm-notifier" просто смысловое совпадение.

Отсутствует

 

№2004-02-2009 18:18:22

Romanych
Забанен
 
Группа: Members
Зарегистрирован: 14-01-2008
Сообщений: 117
UA: Firefox 2.0

Re: Пытаются украть пароли/FF 3.05

Или же наличие в txt  строки с  "wm-notifier" просто смысловое совпадение.

Аналогичные мысли. Ведь пароли хранятся signons.txt но в зашифрованном виде.. Значит их похитили при вводе.. Интересно, если б автор сравнил какие пароли у него запомнены и какие там.. Но ведь если он их крадёт из профиля, то вообще дыра в самой системе шифрования мозиллы!

Отсутствует

 

№2104-02-2009 20:00:11

MySh
Кактусогрыз
 
Группа: Extensions
Зарегистрирован: 17-12-2006
Сообщений: 4623
UA: Firefox 3.0

Re: Пытаются украть пароли/FF 3.05

dobriy_user пишет

Нагуглил и нашел ту самую злосчастную програмку: и автора, и сам релиз. Глядеть тут

Ссылка не работает. Есть ещё что-нибудь по этой теме? А то как-то не очень понятно...

Romanych пишет

ведь если он их крадёт из профиля, то вообще дыра в самой системе шифрования мозиллы!

А не может он, например, непосредственно при вводе с клавиатуры их красть?

Отсутствует

 

№2205-02-2009 04:35:48

Romanych
Забанен
 
Группа: Members
Зарегистрирован: 14-01-2008
Сообщений: 117
UA: Firefox 2.0

Re: Пытаются украть пароли/FF 3.05

А не может он, например, непосредственно при вводе с клавиатуры их красть?

как клавиатурный шпион вряд ли.. Это отдельное приложение нужно. А из профиля я имел в виду именно из файла, где сохраняются пароли в шифрованном виде..Странно, однако чтобы он их переводил на компьютере жертвы, когда можно их преспокойно отправить себе в таком виде и спокойно дома расшифровать.. Да и сомнительно это по причине озвученный выше.. Всё-таки мозилловцы всегда хвалились своей защитой.. Значит перехват уже введённых данных на уровне дополнения.. Может левое расширение? Это всё мои домыслы, но, мне интересно спасает ли от подобных программ установка прог типа sxipper для хранения паролей или нет.. К сожалению, никто сведущий в этом не отписывается, а ведь
это куда серьёзней чем мифические уязвимости, которые исправляются в каждой версии..

Отсутствует

 

№2306-02-2009 11:40:21

ad109
Участник
 
Группа: Members
Зарегистрирован: 09-01-2005
Сообщений: 215
UA: IE 6.0

Re: Пытаются украть пароли/FF 3.05

1 февраля 2009 ЛК добавила в антивирусные базы Constructor.Win32.PWSteal.g.  Описание механизма действия я не обнаружил.

Отсутствует

 

Board footer

Powered by PunBB
Modified by Mozilla Russia
Copyright © 2004–2020 Mozilla Russia GitHub mark
Язык отображения форума: [Русский] [English]