В диске С, где расположена ХРюша обнаружил файл название которого "blubb.txt"
Вот его содержимое:
################################## #Underground Firefox Stealer v0.2# # by BadboyGER # ################################## URL: chrome://wm-notifier/options String: autoLogin String: 1 ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ URL: http://bla-bla-bla String: bla-bla-bla@bla-bla-bla.bla String: тут пароль ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ и так все сайты с данными о логинах и паролей к ним
Чтобы это могло быть? Файл был создан 22 января 2009г. Где лазил именно в это время вспомнить абсолютно не получается.
Я так понял кто-то пытается украсть (steal) мои логины да пароли.
ОС: Винда ХР
Браузер: FF 3.05
Дополнения: wm-notifier, Speeddial, остальные уже не помню. Уважаемые разработчики проясните пожалуйста ситуацию с дальнейшими рекомендациями к пользованию Фаерфоксом.
Премного благодарен!
Добавлено 01-02-2009 02:00:50
Пока что Лису удалил подчистую. Юзаю Оперу до выяснения обстоятельств.
Отсутствует
Почему такая уверенность что пытаются украсть? Вполне может быть что уже! И браузер тут, скорее всего, совершенно не причем.
В качестве рекомендаций хм, это зависит только от Вас лично. Например: Обязательно проверить систему свежим Dr.Web CureIt (или аналогичный антивирусный сканер), + дополнительно AVZ. Обновить/(или удалить и заново инсталлировать) антивирусное ПО, которым Вы пользуетесь и тоже проверить. Если отсутствует - поставить Firewall. В Firefox можете в настройках- защита - глянуть на опцию мастер-пароль. Отключите в настройках все что связанно с Java. Или, что будет более правильно, скачайте дополнение, которое позволяет управлять активными компонентами. Если не путаю, должен подойти NoScript или нечто аналогичное - смотрите сами, мне данное абсолютно не нужно так что, конкретно не подскажу. Посмотрите в настройках - Личные данные - я к примеру, при закрытии, удаляю все. Обязательно все пароли ИЗМЕНИТЬ! Обновить Windows до актуального состояния...... Поковыряйтесь на сайтах посвященных компьютерной безопасности. И тогда поймете, что лично Вам, стоит делать!
Lynn, about,
Спасибо, что откликнулись. У меня щас стоит KIS 7 с обновлениями по нынешний день. Никогда не жаловался. Ибо быстро вылавливал пролезающую каку с инета.
Сам я грешу на левые дополнения?? Такое может быть, что какое-нибудь дополнение, показывающее снаружи что он какой-то безобидный WebMail Notifier, a на самом деле троянчик например "тырящий" пароли с фаерфокса...
Просто, я думаю, что антивирус не проверяет или не может выявить подозрительные внутренности фаерфокса, так как это вред только внутри проги и остается тем самым незамеченным.
Отсутствует
dobriy_user
Сам я грешу на левые дополнения?? Такое может быть, что какое-нибудь дополнение, показывающее снаружи что он какой-то безобидный WebMail Notifier, a на самом деле троянчик например "тырящий" пароли с фаерфокса...
Ну так вроде там так прямо и написано
URL: chrome://wm-notifier/options
.
Хотя конечно это мб и маскировка...
--- ---
Отсутствует
Ну так вроде там так прямо и написано
Где это написано?? В файле описанном в стартпосте это работа вот этого Mozilla supported/trusted скрипта.
На страничке скрипта 347 положительных отзывов...
Значит все ж дополнения...
Отсутствует
dobriy_user
Наличие пассвордов с логином в обычном файле, доступном для просмотра и с заголовком BadboyGER - тревожит. В любом случае, проверяйте систему, поскольку даже наличие постоянно обновляющейся антивирусной программы/комплексных решений не дает 100% гарантию чистоты. WebMail Notifie откуда скачивали? Попробуйте настроить WebMail Notifie и посмотрите, не появился ли подозрительный файл снова.
Нагуглил и нашел ту самую злосчастную програмку: и автора, и сам релиз. Глядеть тут
Но там все на немецком, ничего не понятно. Да и способы очистки от этой дряни вряд ли там опишутся. Пишут мол нулевая детекция. Ни Каспер, ни кто-либо другой не видит её.
Detections
a-squared - Nothing found!
Avira AntiVir - Nothing found!
Avast - Nothing found!
AVG - Nothing found!
BitDefender - Nothing found!
ClamAV - Nothing found!
Comodo - Nothing found!
Dr.Web - Nothing found!
Ewido - Nothing found!
F-PROT 6 - Nothing found!
G DATA - Nothing found!
IkarusT3 - Nothing found!
Kaspersky - Nothing found!
McAfee - Nothing found!
MHR (Malware Hash Registry) - Nothing found!
NOD32 v3 - Nothing found!
Norman - Nothing found!
Panda - Nothing found!
Solo Antivirus - Nothing found!
Sophos - Nothing found!
TrendMicro - Nothing found!
VBA32 - Nothing found!
Virus Buster - Nothing found!
Главным образом тырит пароли и логины с фаерфокса.
Мне кажется, разработчики должны забить тревогу...
Отсутствует
А ссылку именно на обсуждение можно. WebMail Notifier многие используют и нареканий таких на дополнение нет. Любопытно - откуда "blubb.txt" взялся. Хотя, в любом случае, наличие паролей в таком виде серьезная угроза. Везет Вам dobriy_user:)
Нет определения автоматически, смотрите сами, есть ли что подозрительное: AnVir Task Manager, AVZ, HijackThis.
Написал письмо в техподдержку Касперского. Выявили вот такую штуковину, обещали помочь.
Вот, собственно, само письмо:
Здравствуйте,
underground_firefox_stealer_v0.2_public.exe_ - Constructor.Win32.PWSteal.g
Детектирование файла будет добавлено в следующее обновление.
Пожалуйста, при ответе включайте переписку целиком.
Ответ актуален для последних баз с источников обновлений.
Отсутствует
У меня щас стоит KIS 7 с обновлениями по нынешний день. Никогда не жаловался.
Он ловит далеко не всё, см. Поиск на форуме по словам AVG, Касперский - там говорится, чем AVG Free лучше.
Отсутствует
Выявили вот такую штуковину, обещали помочь... underground_firefox_stealer_v0.2_public.exe_ - Constructor.Win32.PWSteal.g ... [/i]
Отлично. Будете менять пароли?
Так что Вы конкретно отправили в техподдержку. Само дополнение WebMail Notifier, или файл какой подозрительный нашли у себя на ПК и отправили. Расскажите пожалуйста подробнее.
Автор темы расскажите подробнее место где вы обнаружили этот текстовый файл Не в корневом же диске С Вы думаете, что воровалось именно с помощью firefox и из-за использования расширений.. Очень важно выявить механизм--касперский и подобные только вирусы по базе определяет, а изменись чуть код и всё.. Надо бы всерьёз подумать как он это делает
Главным образом тырит пароли и логины с фаерфокса
А как? Из сохранённых паролей, при серфинге, ли вообще как кейлоггер какой-нибудь?
Отсутствует
Результат проверки данного файла на Virus Total
http://radikal.ru/F/s60.radikal.ru/i170 … 7.png.html
Видно эту заразу подцепили где-то в другом месте, а она просто внедрилась в это расширение.
З.Ы. Каспер молчит.
Отредактировано Duble3 (03-02-2009 22:58:02)
Если кругом одни пешки - это вовсе не означает, что ты король.
Отсутствует
Настройки какие у KIS7? Даже если этой дряни нет в сигнатурах, могла сработать эвристика, а если дрянь маскируется - углублённый поиск руткитов. Используя максимальную защиту, проверьте весь винчестер.
Вот я тут советую, а сам по неосторожности тоже трояна подцепил, причём не знаю, когда, и не знаю, где. Тоже какой-то воришка паролей, правда детального описания не нашёл. KAV 2009 его сразу вычислил и удалил, вот только я слишком долго антивирус не запускал... страшно, вдруг что случится теперь...
Отредактировано Phoenix (04-02-2009 00:12:56)
[I speak to machines with the voice of humanity]
Отсутствует
Это не WebMail Notifier. Я же в предыдущем посте писал, что это не он. Куча положительных отзывов, да и проверки на чистом фаерфоксе не выявили ничего подозрительного.
Я уже разобрался что это было: это эксплоит, написанный каким-то фашистом из Германии, который (каким образом понятия не имею) обрабатывает профиль в Фаерфоксе и тщательно все экспортирует все логины, пароли и на каких сайтах они были введены в текстовой файл, который находится именно в корневом диске, где установлена Винда (да да, я об "C:\"). Далее затем передает этот текстовой файл на удаленный FTP-сервер и дело в шляпе. Ес-но ему будет пофиг на вашу почту, на аккаунт на лавплэнет.ру. Ему гораздно интереснее рыба по-крупнее, напр WebMoney, введенные данные на сайте вашего банка и т.д. и т.п.
Я отправил этот эксплоит в техподдержку Касперского, как я писал выше, и противоядие уже включили в обновление от 2 февраля. Вроде бы проблема решена. Но покопавшись глубоко в гугле обнаружил что таких программок огромное количество. И по одной штучке отправлять в Касперский это как бы не выход. Нужно искать че-нить принципиально новый метод решения борьбы с вредителями.
Где подцепил эту фигню не знаю и не помню.
Всё, вроде отписался...
Отсутствует
Спасибо. Теперь понятно.
... который (каким образом понятия не имею) обрабатывает профиль в Фаерфоксе и тщательно все экспортирует все логины, пароли и на каких сайтах они были введены в текстовой файл...
А вот меня интересует другое. Возможно ли, что для "экспорта" приватных регистрационных данных пользователя, использовалась некая уязвимость в дополнении WebMail Notifier. Или же наличие в txt строки с "wm-notifier" просто смысловое совпадение.
Отсутствует
Или же наличие в txt строки с "wm-notifier" просто смысловое совпадение.
Аналогичные мысли. Ведь пароли хранятся signons.txt но в зашифрованном виде.. Значит их похитили при вводе.. Интересно, если б автор сравнил какие пароли у него запомнены и какие там.. Но ведь если он их крадёт из профиля, то вообще дыра в самой системе шифрования мозиллы!
Отсутствует
Нагуглил и нашел ту самую злосчастную програмку: и автора, и сам релиз. Глядеть тут
Ссылка не работает. Есть ещё что-нибудь по этой теме? А то как-то не очень понятно...
ведь если он их крадёт из профиля, то вообще дыра в самой системе шифрования мозиллы!
А не может он, например, непосредственно при вводе с клавиатуры их красть?
Отсутствует
А не может он, например, непосредственно при вводе с клавиатуры их красть?
как клавиатурный шпион вряд ли.. Это отдельное приложение нужно. А из профиля я имел в виду именно из файла, где сохраняются пароли в шифрованном виде..Странно, однако чтобы он их переводил на компьютере жертвы, когда можно их преспокойно отправить себе в таком виде и спокойно дома расшифровать.. Да и сомнительно это по причине озвученный выше.. Всё-таки мозилловцы всегда хвалились своей защитой.. Значит перехват уже введённых данных на уровне дополнения.. Может левое расширение? Это всё мои домыслы, но, мне интересно спасает ли от подобных программ установка прог типа sxipper для хранения паролей или нет.. К сожалению, никто сведущий в этом не отписывается, а ведь
это куда серьёзней чем мифические уязвимости, которые исправляются в каждой версии..
Отсутствует