Как меня могли взломать сразу в трех крупных сервисах?

Все привет. Меня очень сильно интересует безопасность моих учетных записей во многих проектах, а потому я был вчера в шоке, когда не смог войти в свой аккаунт в такой игре как WOT. Аккаунт у меня хороший, 20 с копейками тыс.боев, 70%+ и вхожу в топ 500 по всем парам. Пароль был очень сложный, программ перехватчиков быть не должно, т.к у меня перманентно активен Kasp Crystal 2013. Все было вечером. Примерно в 12 часов я не смог войти в аккаунт. Затем я проверил Эл.почту, там было 4 новых ПРОЧИТАННЫХ письма. Три от стима в 22.53 часа по МСК (при том, что я там ничего не покупал Вообще) по востановлению пароля при незнании логина. В общем по почте. И одно от WOT в 22.47 по МСК что мол ваш пароль успешно изменен. Вхожу в личный кабинет wg (благо по кукам я могу входить в почту и в личн.кабинет танков при том, что там и там СМЕНЕН пароль. При этом на почте, которая на рамблере, либо сменен контрольный вопрос/ответ (при том, что он ставился шесть лет назад при реге ящика), либо я ставил его в угаре. Там такой вопрос: "Ваш любимый контрольный вопрос", - хотя у меня небыло таких крутых фраз на вопросы.
В общем вошел я в личн кабинет, и вижу что там поставлен на удаление телефон к которому был прив.акк (телефон я покупал на улице, оформлен на барыгу, и доступ к нему заблочен т.к номер не выгодный был). Получается взломщик вошел под моим паролем а не под md5, ввел его, сменил его, и при этом я не вылетел из личн.кабинета. Странно?
Также и на рамблере. Я вхожу спокойно по автосессии, захожу в настр. и не могу сменить пароль, т.к мой пароль не подходит. А контр. вопрос очень странный и не похож на мой.
Затем решил зайти в киви кошелек, захожу в киви через сайт, и вижу что у меня 0.00 руб и выпущена карточка, ну я ее удалил сразу. Смотрю в отчете операций, и вижу:
"
03.07.2013 01:38:28
999999900104232950
1,25 руб.
Распечатать чек
1,25 руб.
МегаФон Столичный филиал 92999**679
ЫЫЫЫЫЫЫЫЫЫ
"
Весело? Правда подтв. по смс было отключено.
Так вот у меня вопрос:
Как могли взломать три аккаунта в совершенно разных сервисах. Пароль Был везде почти одинаковый, но с моими личными добавками в начало/Конец. Так что если брутить, то терял бы я акки постепенно. А так все взломали в один вечер, за 3-4 часа как я понимаю. Опять же в киви кошелке номер телефона. Этот номер никто не должен знать, и на почте в письмах его точно нету. Так что его как-то перехватили. Ну и как себя обезопасить от подобного.
Жду ответа Знающих людей.

 

Троян

 

Как он мог попасть в систему миную защиту антивирусом браузера, затем установиться минуя защиту от подозр.активности, а затем отправлять/собирать данные при включенной функции сканирования трафика каспером. При этом я проверял такой программой как Norton Power Eraser, она нашла лишь dll по типу shellext64 или DealPlyIE.dll и взломанные кейгеном программы которые стоят и ничего уже года два

 

один и тот же пароль на все ресурсы?

 

Только на официальные с хорошей репутацией. На 3-4, и опять же не совсем одинаков. Основа одна, но он так сказать модифицирован, добавлены буквы/символы и прочее. На остальных конечно же другой

Я все понимаю, но как это могло произойти? Мне нужно знать технику, чтобы затем не произошло подобное. Какие есть наилучшие программы для сканирования на трояны допустим?

 

технику взлома Вам знать не нужно , нет обходимости!

главное соблюдать правила!
1)не скачивать и не запускать подозрительное
2)обновлять АВ + держать фаервол
3)не принимать ничего от не знакомых
4)не гулять по небезопасным сайтам , трафф=связка = вы пробиты
5)удачи что ли

 

1) ну без этого все же трудно обойтись.
2) все время работает
3) Эм, конфетку/ пирожок?)
4) Это тоже невозможно. Все же кач-венных ресурсов мало, а поисковик ссылается на все что индексирует
5) спс..

И все же мне бы знать/проверить как и каким образом, да и куда ушли мои данные. Очень бы хотелось.. Поможете?

Нашел вот что у себя на компе https://www.virustotal.com/ru/file/ef9d09e51c42bc04d48444b2517471ea07f2d8a6a6a2e67dd635b7bf95bf8b7a/analysis/1372855556/

При этом каспер не реагирует. КАК ЭТО?
http://rghost.ru/47187051 В папку D я переместил сейчас, чтобы не потерять. Лежал он в C:\Windows\SysWOW64
Активен был сегодня утром.. Как и чем узнать, куда он отправлял собранные данные, а также когда он попал в систему? И опасен ли он вообще?

 

Сомневаюсь, что кто-то будет трояны ради танчиков грузить. Разве что школьник какой-нибудь. Но если твою систему пробила самая говеная паблик связка (иной у школьника быть не может), то это ни о чем хорошем не говорит.

 

Можно подробно узнать насчет этого файла, как я его словил, куда он отправляет данные, что/куда ищет и тп? Заранее спс

 

Ну а сам файлик выгрузить куда-нибудь? =) на файлообменник залей, чтобы можно было скачать и расковырять его, или хотя бы посмотреть попробовать, куда и что он отправляет...

 

http://rghost.ru/47193355 - нашло вот что. Было в system32 systemWOW64 и где-то еще. При этом каспер показывает что файл норм. Нашел его только ad aware se. поместил в карантин. В общем мне нужно еще понять, может включить какой-то мониторинг, передает ли мой комп. что либо третьей стороне. Что-то конфиденциальное (пароли, логины и тп). Т.к последние две недели сижу с модема мегафон, и постоянно держится в простое трафик 20-30кб. ИЛи м.б какие порты можно увидеть левые. net monitor есть

+ что-то еще было. Но уже не могу найти. И кстати, почему-то сегодня до перезагрузки exe файл танков не открывался, не удалялся, не переимен/перемещался и тп (выбирал и зап.с прав.адм). Везде писало мол недостаточн. прав. Хотя я всегда через админа. При этом Даже в свойствах я не имел права менять владельца. Владелец был вроде бы "СОЗДАТЕЛЬ АДМИНИСТРАТОР" именно капсом вроде бы

 

Поищи файлики в папке "d:\w7rtm\minkernel\threadpool\ntdll\"
Имеют расширение .с - их создаёт вот этот поганец, судя по всему. Так же он ковыряет реестр (либо пишется туда, либо читает ветки HK_User, HK_Local_User и, возможно ещё какие(файл долго просматривать)). Ищу, куда мог инфу скидывать.

 

Такой папки нету , м.б надо "особо" искать? Реестр еще не смотрел. М.б он подчищает все за собой сразу же. Мне бы его алгоритм знать. Если это Вообще он. Почитал в инете про это, все говорят что очень сложно просто так взять и своровать пароли/логины от разных аккаунтов не имея локального доступа

 

NoobManTeam читайте правила раздела. Дублировать посты запрещено.
По теме:
1) БД вашей любимой игры постоянно сливается. Отсюда можно сделать вывод, что если пароль стоял одинаковый в игре и на почте, просто зашли по паролю.
2) Подхватили криптованный бекдор через связку сплоитов для браузера или же скачали зараженный файл сами. Антивирусы не распознают свежекриптованные файлы.
3) Скрытый Radmin или TeamViewer.

Антивирус не лекарство от всех вирусов, это множество раз обсуждалось. Любой более менее пряморукий программист сможет закриптовать файл, чтобы его в дальнейшем не обнаруживали антивирусы.

 

TW я сам давно ставил для управления чужим комп. Так что не с того, ни с сего у меня выкрали пароли игры/почты/танков + сменили вопрос на почте в один вечер само по себе не нормально. Опять же, вы не разработчик чтобы "знать" что именно слили. Или в вашем распоряжении была БД? Как мне известно слили лишь почтовую базу игроков. Пароли же по идее хранятся в зашифр.виде, и ключ вроде бы не свободный на шифровку. Но это все предположения.
Сегодня проверил комп Каспом на макс.настройках, Др.Вебом в без.режиме, malware byts ом, ad-aware SE.. И толку почти 0. Антивирусники выдавали лишь кейгены которые лежали месяцами (либо был недавно скачаный кей с софтом одним(брутфорсом + чекером акков). Но там вроде бы норм отзывы были и прочее. Мне бы сейчас дельный совет. Как и чем могли такое сложное организовать, я достаточно описал проблему. Какие могут быть предположения и советы по проверке системы? Мог ли тот маленький файлик быть причиной? Можно ли сейчас установить какую либо программу, которая будет перманентно мониторить комп/порты/трафик и если найдет левую сторону его ухода - меня об этом предупреждать?

 

Этот вирус, hotkeyshook, кейлоггер, известен как минимум с 2004 года))) навряд ли найдёте, куда инфа утекла, хотя можете запустить сниффер, отключить всё, что сеть использует, и посмотреть, куда зловред отстукивается... Подержите сниффер включенным сутки (судя по тому, что эта хреновина использует timer.c, то он отправляет накопленные логи раз в какое-то время), полистайте отснифанную инфу, и постарайтесь по минимуму в этот период активничать в сети, чтобы километры логов не листать. На вирустотале, к слову, статус проверки 24/47, и каспер эту заразу пропускает)))
http://trojanpedia.blogspot.ru/2008/12/keyloggerhotkeyshookvirus-spyware.html - вот тут есть некоторая инфа по заразе.

 

Все правильно, только можно чуть рациональнее. Поставить виртуалку, на нее снифер дапее заражаем систему зловредом. ИМХО при первом запуске он сам отстучится без таймера (наличие инета тоже должно быть). А дабы в сниферах не читать километровые логи, там фильры имеются... Мораль сей басни такова: никто не даст 100% защиты, но к этому нужно стремиться С АВ желательно использовать файрвол, хотя мне проще юзать linux

 

Спс, а умеет ли этот кейлогер маскироваться под обычные процессы/сетевые процессы? Так как у меня всегда почему-то открыты порты хрома в кол-ве 33 соединений или чего-то там сейчас, 40 соед.каспера, 15 соединений svchost.exe, затем два порта System, два wininit.exe, один lsass.exe и два services.exe. Все, больше портов не показывает касп.

К тому же, как мне запустить на виртуалке то кейлоггер? Просто этот файлик поместить куда угодно? Примитивно.. Он же не сам скачался, по идее он наверное установился с чем-то ведь? И как так, если файл вируса есть, а инфы а его устройстве нету. Странно получается. М.б там можно найти инфу о времени подкл. к его серверу, о маскировке, внедрении там куда -нибудь и тп? Буду благодарен за такой развернутый ответ

 

Что мешает поставить нормальный фаервол и все лишние порты перекрыть? И антивирус нормальный, а не касперский. Бесполезное дерьмо, жрет по 2 гига оперативы, круглые сутки обновляется, а на деле даже трояны 10-ти летней давности не видит. У меня например авира лицензионная стоит, все норм, никогда ничего не ловил. Так же поменьше лазай по сомнительным сайтам, а если уж приспичило, юзай для этих целей SRWare Iron с отключенными плагинами и скриптами. В идеале конечно это нужно с виртуалбокса делать, где нет общих папок с ОС, но на деле ирон очень сложно пробивается, а без плагинов так вообще любой браузер почти нереально пробить. Соблюдай эти нехитрые правила и все будет норм.

P.S. И да, ответы на все свои вопросы ты можешь найти хоть в гугле, хоть здесь же, или тут почитать. Все по 100500 раз мусолилось уже.

 

Мне уж лучше вживую обсудить) Есть сэндбокс. Правда его надо по умному настроить. Да и как я узнаю сомнителен ли сайт? То что касп. выдает как сомнит я не открываю. А если не выдает, как узнать что он сомнит? По домену?))
Кстати, давно попадалось на глаза, но все же:
http://rghost.ru/47198911
файлы в корне C диска. Очень давно появились. Но после уст.системы вроде бы. В них там случаем нету ничего интересного?

Щас поставил проверку с помощью AVZ на макс.настройках все. + распаковал из архива тот файл (хотКейсХак). Уже час сканирует, в логах там куча красного. При том, что Ad Aware и Malware Bytes после фулл проверки выдавали что все чисто (если хактул я опять распаковал, то они обе конечно ругались)

Кстати, у меня была установлена данная программа:
http://www.skins-wot.net/load/raznoe/programmy/wot_pinger_v2_0/217-1-0-1940
глянул, - она у меня почему-то отсутствует. Решил проверить установочник вирустоталом -
https://www.virustotal.com/ru/file/50871f1c2f8e074cb35a34425bd9b2deeeb7a54de203305c373a2cdbdf75fe43/analysis/1373033032/

Так вот, можете сказать что это за вирусняки, и расковырять их?