Próba włamania alior bank

Witam.

Od piątku podczas logowania na alior bank zauważyłem pewne zmiany otóż szyfrowanie jest wyłączone a adres strony zaczyna się od ssl-. Dzwoniła do mnie pani i powiedziała, że była to próba wyłudzenia hasło na id do mojego konta.

Logi otl:

http://www.wklej.org/id/1252577/

http://www.wklej.org/id/1252578/

A gdzie antywirus?Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL
DRV - File not found [Kernel | On_Demand | Unknown] -- C:\ComboFix\mbr.sys -- (mbr)
DRV - File not found [Kernel | On_Demand | Unknown] -- C:\DOCUME~1\Komputer\USTAWI~1\Temp\catchme.sys -- (catchme)
[2014-01-27 17:13:49 | 000,518,144 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe
[2014-01-27 17:13:49 | 000,406,528 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe
[2014-01-27 17:13:49 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe
[2014-01-27 17:13:49 | 000,060,416 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe
[2014-01-27 17:13:38 | 000,000,000 | ---D | C] -- C:\Qoobox
[2014-01-27 17:13:49 | 000,256,000 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2014-01-27 17:13:49 | 000,208,896 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2014-01-27 17:13:49 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2014-01-27 17:13:49 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2014-01-27 17:13:49 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe

:Commands
[emptytemp]

Kliknij Wykonaj skrypt.

Przeskanuj progr.Malwarebytes Anti-Malware http://www.malwarebytes.org/products/malwarebytes_free/

Cześć.

Widzę że nie tylko ja byłem atakowany. Sytuacja wyglądała podobnie. Antywirusy nic nie znalazły. Dopiero po około 7 godzinach i restarcie ustawień rutera sytuacja wróciła do normy, to znaczy logowania przez https. Nie obyło się bez zablokowania konta i zmiany haseł.

Wykonałem skrypt i przeskanowałem komputer i problem dalej występuje.

Logi:

http://www.wklej.org/id/1253058/

http://www.wklej.org/id/1253060/

Konsultanci z Alior Bank twierdzą, że miałem trojana Zeus/Zbot, ale ja go nie znalazłem. Nie wiem gdzie to cholerstwo mogło siedzieć.

A jak się wyzbyłeś tego problemu? Tylko format?

Na jednym komputerze zrobiłem totalny format wszystkich partycji i postawiłem nowy system ale o dziwo było to samo czyli ssl-, na drugim przywróciłem system z obrazu partycji. Po pewnym czasie wszystko zaczęło poprawnie działać. Nie wiem co pomogło. Wszystko to strasznie dziwne. Po zalogowaniu dzisiaj na konto Aliora można ujrzeć komunikat:

 

Pn. 27-01-2014:  

  UWAGA! Alior Bank NIE MODYFIKUJE formatu numerów rachunków i NIE WYMAGA potwierdzania jakichkolwiek operacji z tym związanych.

 

Mam ruter Asus RT-G32. Pytałem jeszcze konsultantów czy coś się dzieje, czy więcej klientów zostało zaatakowanych ale otrzymałem tylko zdawkowe odpowiedzi. Ale widząc ten komunikat wydaje mi się że coś jest na rzeczy.

 

A do Ciebie paweł256 dzwonili konsultanci z informacją że jesteś atakowany i zablokowali Ci konto? Zastanawia mnie czy mają na tyle dobre zabezpieczenia aby to wykrywać.

Czyli wina leży po ich stronie? Czy możliwe jest włączenie przekierowań na routerze?

Nie mam pojęcia nie znam się na informatyce, ale jest to bardzo ciekawe. Gdybyśmy znali więcej przypadków może coś dałoby się ustalić.

Cześć.

Sytuacja wygląda na opanowaną, znaczy wiadomo jak odbywa się atak. Radzę zapoznać się z artykułami:

http://niebezpiecznik.pl/post/stracil-16-000-pln-bo-mial-dziurawy-router-prawie-12-miliona-polakow-moze-byc-podatnych-na-ten-atak/

Wcale nie chodziło o wirusa a o router’y.