Próba włamania alior bank


(Stan19) #1

Witam.

Od piątku podczas logowania na alior bank zauważyłem pewne zmiany otóż szyfrowanie jest wyłączone a adres strony zaczyna się od ssl-. Dzwoniła do mnie pani i powiedziała, że była to próba wyłudzenia hasło na id do mojego konta.

Logi otl:

http://www.wklej.org/id/1252577/

http://www.wklej.org/id/1252578/


(Acorus) #2

A gdzie antywirus?Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL
DRV - File not found [Kernel | On_Demand | Unknown] -- C:\ComboFix\mbr.sys -- (mbr)
DRV - File not found [Kernel | On_Demand | Unknown] -- C:\DOCUME~1\Komputer\USTAWI~1\Temp\catchme.sys -- (catchme)
[2014-01-27 17:13:49 | 000,518,144 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe
[2014-01-27 17:13:49 | 000,406,528 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe
[2014-01-27 17:13:49 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe
[2014-01-27 17:13:49 | 000,060,416 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe
[2014-01-27 17:13:38 | 000,000,000 | ---D | C] -- C:\Qoobox
[2014-01-27 17:13:49 | 000,256,000 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2014-01-27 17:13:49 | 000,208,896 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2014-01-27 17:13:49 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2014-01-27 17:13:49 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2014-01-27 17:13:49 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe

:Commands
[emptytemp]

Kliknij Wykonaj skrypt.

Przeskanuj progr.Malwarebytes Anti-Malware http://www.malwarebytes.org/products/malwarebytes_free/


(Kowejsza) #3

Cześć.

Widzę że nie tylko ja byłem atakowany. Sytuacja wyglądała podobnie. Antywirusy nic nie znalazły. Dopiero po około 7 godzinach i restarcie ustawień rutera sytuacja wróciła do normy, to znaczy logowania przez https. Nie obyło się bez zablokowania konta i zmiany haseł.


(Stan19) #4

Wykonałem skrypt i przeskanowałem komputer i problem dalej występuje.

Logi:

http://www.wklej.org/id/1253058/

http://www.wklej.org/id/1253060/


(Kowejsza) #5

Konsultanci z Alior Bank twierdzą, że miałem trojana Zeus/Zbot, ale ja go nie znalazłem. Nie wiem gdzie to cholerstwo mogło siedzieć.


(Stan19) #6

A jak się wyzbyłeś tego problemu? Tylko format?


(Kowejsza) #7

Na jednym komputerze zrobiłem totalny format wszystkich partycji i postawiłem nowy system ale o dziwo było to samo czyli ssl-, na drugim przywróciłem system z obrazu partycji. Po pewnym czasie wszystko zaczęło poprawnie działać. Nie wiem co pomogło. Wszystko to strasznie dziwne. Po zalogowaniu dzisiaj na konto Aliora można ujrzeć komunikat:

 

Pn. 27-01-2014:  

  UWAGA! Alior Bank NIE MODYFIKUJE formatu numerów rachunków i NIE WYMAGA potwierdzania jakichkolwiek operacji z tym związanych.

 

Mam ruter Asus RT-G32. Pytałem jeszcze konsultantów czy coś się dzieje, czy więcej klientów zostało zaatakowanych ale otrzymałem tylko zdawkowe odpowiedzi. Ale widząc ten komunikat wydaje mi się że coś jest na rzeczy.

 

A do Ciebie paweł256 dzwonili konsultanci z informacją że jesteś atakowany i zablokowali Ci konto? Zastanawia mnie czy mają na tyle dobre zabezpieczenia aby to wykrywać.


(Stan19) #8

Czyli wina leży po ich stronie? Czy możliwe jest włączenie przekierowań na routerze?


(Kowejsza) #9

Nie mam pojęcia nie znam się na informatyce, ale jest to bardzo ciekawe. Gdybyśmy znali więcej przypadków może coś dałoby się ustalić.


(Kowejsza) #10

Cześć.

Sytuacja wygląda na opanowaną, znaczy wiadomo jak odbywa się atak. Radzę zapoznać się z artykułami:

http://niebezpiecznik.pl/post/stracil-16-000-pln-bo-mial-dziurawy-router-prawie-12-miliona-polakow-moze-byc-podatnych-na-ten-atak/

Wcale nie chodziło o wirusa a o router'y.