Gå till innehåll

Angående scamförsöken precis nu?

Hittapengarna

Av Hittapengarna
i Off topic

 Share

Recommended Posts

Joeduck Advanced Member

Joeduck

Postad
Postad

Bra fråga. Att IE krashade behöver inte betyda att intrånget var misslyckat - tvärtom så kan det vara en väg in.

Någon borde dumpa scam-hemsidorna. Hade gjort det själv men är rätt långt kommen i en turnering nu.

Joeduck Advanced Member

Joeduck

Postad
Postad

Tror jag, men hur är svårt att veta. Stäng av datorn?

Idioten som försöker scamma heter troligen Robin iallafall.

Är inte så haj på Java men det borde inte ta lång tid innan vi vet vad det är för exploit han använder sig av. Fick break. :D

Drunken_Penguin Advanced Member

Drunken_Penguin

Postad
Postad

Trådarna det handlar om har jag tagit bort, men infon i dem finns kvar på platser bara vi mods kommer åt. Om det kan hjälpa att sätta dit det lilla äcklet på något sätt, eller i alla fall förhindra framtida scam-försök så kan jag säkert ta fram dem igen. Behöver nog prata med admins först om hur skadligt det skulle kunna vara för siten, så innan jag fått tag i någon av dem låter jag trådarna ligga där de ligger.

 

Muppen verkar ha använt en anonymiseringstjänst, så det kan vara svårt att komma åt honom.

Hittapengarna Advanced Member

Hittapengarna

Postad
  • Författare
Postad

Väldigt bra gjort att du lyckades ta bort trådarna så snabbt som du gjorde.

Har väldigt dålig koll på hur scammers lyckas komma åt information men efter alla skräckhistorier man har hört är det inte konstigt att man blir mer eller mindre paranoid. Riktigt trist att det finns så mycket idioter där ute bara.

 

Ifall någon som har mer kött på benen angående scamming och vill ge tips gällande kontroll av säkerhet och hur det går till så uppskattas det enormt.

Drunken_Penguin Advanced Member

Drunken_Penguin

Postad
Postad

Det är tack vare att en av trådarna blev rapporterad som jag kunde fånga det så fort som jag gjorde. Om du har fått massa skit i datorn så ser jag det ändå som att idioten fångades för sent.

 

Vill understryka här hur enormt viktigt det är att ni användare hjälper oss mods med att rapportera sånna här försök. När inlägg blir rapporterade får vi mail om det, vilket gör att även om vi inte är påloggade på PF så får vi notis via MSN om att någon rapporterat ett inlägg. Personligen så tycker jag att det är bättre att en sån här mupp blir rapporterad 10 gånger än ingen gång, även om det skulle innebära väldigt många mail för mig att radera ur min inbox. Jag vill inte lägga ord i munnen på dem, men jag tror att alla de andra moddarna håller med mig.

jkkman Advanced Member

jkkman

Postad
Postad
Det är tack vare att en av trådarna blev rapporterad som jag kunde fånga det så fort som jag gjorde. Om du har fått massa skit i datorn så ser jag det ändå som att idioten fångades för sent.

 

Vill understryka här hur enormt viktigt det är att ni användare hjälper oss mods med att rapportera sånna här försök. När inlägg blir rapporterade får vi mail om det, vilket gör att även om vi inte är påloggade på PF så får vi notis via MSN om att någon rapporterat ett inlägg. Personligen så tycker jag att det är bättre att en sån här mupp blir rapporterad 10 gånger än ingen gång, även om det skulle innebära väldigt många mail för mig att radera ur min inbox. Jag vill inte lägga ord i munnen på dem, men jag tror att alla de andra moddarna håller med mig.

 

+1

Joeduck Advanced Member

Joeduck

Postad
Postad

HittaPengarna: Bäst att du formaterar om burken och byter alla lösen.

Följande verkar köras i kernelmode:

http://jump.fm/WWSGS ( 0x344 svchost.exe 0x170 0x7c810856 MEM_IMAGE 0x7c910760 MEM_IMAGE )

 

Förmodligen ett rootkit. Var uppslängd på virustotal av någon första gången 2009.02.20.

http://www.virustotal.com/analisis/e7dbe99baa5c1045cdf7004edb037018b2e0f639a5edcf800ec4514d5c8e35b5-1244674029

Nyaste:

http://www.virustotal.com/analisis/e7dbe99baa5c1045cdf7004edb037018b2e0f639a5edcf800ec4514d5c8e35b5-1261986112

Fortfarande odetekterad.

 

 

Undra om det krävs polisanmälan för att loopia ska ge ut namnet på idioten?

Det är ganska tydligt att det var våra pengar han är ute efter.

 

 

 

Här är mer detaljerat vad skiten gör:

http://eureka.cyber-ta.org/OUTPUT/999603c014ebada440f5227791894709

http://eureka.cyber-ta.org/OUTPUT/99461c2ad2015d6b51393459a1d9b65e

jason Advanced Member

jason

Postad
Postad

Ett tips till alla som är rädda för att gå på dessa miner är att köra Firefox med "NoScript" plugin, med den igång så körs inga script på några sidor såvida ni inte godkänner det. Vet inte om det ger ett 100% säkerhetskydd mot liknande scam försök som detta, men det ger garanterat bättre skydd än inget alls.

heltok Advanced Member

heltok

Postad
Postad
Dum som jag är klickade jag på en av länkarna som idioten/rna postade precis? Någon som har kunskap om hur illa det är? Mitt explorer kraschade och " svarade inte "? Men mitt Norton AntiVirus märkte inte av något?

Något att oroa sig över?

 

jag hade formaterat.

Joeduck Advanced Member

Joeduck

Postad
Postad
måste man verkligen formatera datorn för att få bort skiten?
Blev du infekterad, så ja. Är knappast någon adware precis. Du kan ju se på vissa sajter, t.ex gmail ifall något annat IP har varit där och snokat. Byt lösenord med.

 

Kört den i sandbox. Efter att maskinen vart infekterad så verkade det som att den inte var infekterad. Det är ju poängen med rootkits. Letar man så gömmer det sig. Har inte fått någon klar bild av vad det gör riktigt, men man kan gissa att det är en keylogger inkluderad.

Jeg123 Advanced Member

Jeg123

Postad
Postad
Blev du infekterad, så ja. Är knappast någon adware precis. Du kan ju se på vissa sajter, t.ex gmail ifall något annat IP har varit där och snokat. Byt lösenord med.

 

Kört den i sandbox. Efter att maskinen vart infekterad så verkade det som att den inte var infekterad. Det är ju poängen med rootkits. Letar man så gömmer det sig. Har inte fått någon klar bild av vad det gör riktigt, men man kan gissa att det är en keylogger inkluderad.

 

Hur kan jag ta reda på om jag blivit infekterad? Har gjort en virussökning med AVG som inte hittar något...

Joeduck Advanced Member

Joeduck

Postad
Postad
Hur kan jag ta reda på om jag blivit infekterad? Har gjort en virussökning med AVG som inte hittar något...

 

Såg du en java applet på hemsidan är du med stor sannolikhet infekterad. Gick på ett par sekunder från att den visades till att trojanen startade.

 

apl.exe är filnamnet på droppern som körs med en gång den laddas ned. Kanske ligger i cachen för din webbläsare (sök efter filen i utforskaren), men inte helt omöjligt att någon raderat spåren efteråt om du har haft igång datorn ett tag.

Jeg123 Advanced Member

Jeg123

Postad
Postad
"File apl.exe received on 2009.12.28 01:54:19 (UTC)

Current status: finished

Result: 6/41 (14.63%)"

 

Formatera?

 

Får exakt samma meddelande på min andra dator, och även min iPhone? Har det kunnat spridits på något sätt eller är det för vi är på samma IP eller nått?

Jeg123 Advanced Member

Jeg123

Postad
Postad
Meddelandet har ingenting med din dator att göra utan listar hur många av antivirusprogrammen som kan identifiera viruset.

 

Inte hemma just nu, men då kanske en smart ide vore att fixa något av programmen som kan identifiera det för att kolla om man blivit drabbad?

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Gäst
Svara i detta ämne...

×   Du har klistrat in innehåll med formatering.   Ta bort formatering

  Endast 75 max uttryckssymboler är tillåtna.

×   Din länk har automatiskt bäddats in.   Visa som länk istället

×   Ditt tidigare innehåll har återställts.   Rensa redigerare

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Gå till ämneslista
×
×
  • Skapa nytt...