Gå till innehåll

Angående scamförsöken precis nu?

Hittapengarna

Av Hittapengarna
i Off topic

 Share

Recommended Posts

Drunken_Penguin Advanced Member

Drunken_Penguin

Postad
Postad

Trådarna det handlar om har jag tagit bort, men infon i dem finns kvar på platser bara vi mods kommer åt. Om det kan hjälpa att sätta dit det lilla äcklet på något sätt, eller i alla fall förhindra framtida scam-försök så kan jag säkert ta fram dem igen. Behöver nog prata med admins först om hur skadligt det skulle kunna vara för siten, så innan jag fått tag i någon av dem låter jag trådarna ligga där de ligger.

 

Muppen verkar ha använt en anonymiseringstjänst, så det kan vara svårt att komma åt honom.

Länk till kommentar
Dela på andra webbplatser
Hittapengarna Advanced Member

Hittapengarna

Postad
  • Författare
Postad

Väldigt bra gjort att du lyckades ta bort trådarna så snabbt som du gjorde.

Har väldigt dålig koll på hur scammers lyckas komma åt information men efter alla skräckhistorier man har hört är det inte konstigt att man blir mer eller mindre paranoid. Riktigt trist att det finns så mycket idioter där ute bara.

 

Ifall någon som har mer kött på benen angående scamming och vill ge tips gällande kontroll av säkerhet och hur det går till så uppskattas det enormt.

Länk till kommentar
Dela på andra webbplatser
Joeduck Advanced Member

Joeduck

Postad
Postad

Source från java:

http://pastebin.com/md858178

 

Äckelprogrammet:

http://www.virustotal.com/analisis/f5e5f67a24c4aca62936ead80d9ea2637386454790b229e4f9efa01fc21fe741-1261965259

 

Var det explorer eller IE som hängde sig, HittaPengarna?

 

Explorer = du är troligen infekterad av ett modifierat "virus". Jag skulle inte lita på att norton tar bort allt.

Länk till kommentar
Dela på andra webbplatser
Drunken_Penguin Advanced Member

Drunken_Penguin

Postad
Postad

Det är tack vare att en av trådarna blev rapporterad som jag kunde fånga det så fort som jag gjorde. Om du har fått massa skit i datorn så ser jag det ändå som att idioten fångades för sent.

 

Vill understryka här hur enormt viktigt det är att ni användare hjälper oss mods med att rapportera sånna här försök. När inlägg blir rapporterade får vi mail om det, vilket gör att även om vi inte är påloggade på PF så får vi notis via MSN om att någon rapporterat ett inlägg. Personligen så tycker jag att det är bättre att en sån här mupp blir rapporterad 10 gånger än ingen gång, även om det skulle innebära väldigt många mail för mig att radera ur min inbox. Jag vill inte lägga ord i munnen på dem, men jag tror att alla de andra moddarna håller med mig.

Länk till kommentar
Dela på andra webbplatser
jkkman Advanced Member

jkkman

Postad
Postad
Det är tack vare att en av trådarna blev rapporterad som jag kunde fånga det så fort som jag gjorde. Om du har fått massa skit i datorn så ser jag det ändå som att idioten fångades för sent.

 

Vill understryka här hur enormt viktigt det är att ni användare hjälper oss mods med att rapportera sånna här försök. När inlägg blir rapporterade får vi mail om det, vilket gör att även om vi inte är påloggade på PF så får vi notis via MSN om att någon rapporterat ett inlägg. Personligen så tycker jag att det är bättre att en sån här mupp blir rapporterad 10 gånger än ingen gång, även om det skulle innebära väldigt många mail för mig att radera ur min inbox. Jag vill inte lägga ord i munnen på dem, men jag tror att alla de andra moddarna håller med mig.

 

+1

Länk till kommentar
Dela på andra webbplatser
Joeduck Advanced Member

Joeduck

Postad
Postad

HittaPengarna: Bäst att du formaterar om burken och byter alla lösen.

Följande verkar köras i kernelmode:

http://jump.fm/WWSGS ( 0x344 svchost.exe 0x170 0x7c810856 MEM_IMAGE 0x7c910760 MEM_IMAGE )

 

Förmodligen ett rootkit. Var uppslängd på virustotal av någon första gången 2009.02.20.

http://www.virustotal.com/analisis/e7dbe99baa5c1045cdf7004edb037018b2e0f639a5edcf800ec4514d5c8e35b5-1244674029

Nyaste:

http://www.virustotal.com/analisis/e7dbe99baa5c1045cdf7004edb037018b2e0f639a5edcf800ec4514d5c8e35b5-1261986112

Fortfarande odetekterad.

 

 

Undra om det krävs polisanmälan för att loopia ska ge ut namnet på idioten?

Det är ganska tydligt att det var våra pengar han är ute efter.

 

 

 

Här är mer detaljerat vad skiten gör:

http://eureka.cyber-ta.org/OUTPUT/999603c014ebada440f5227791894709

http://eureka.cyber-ta.org/OUTPUT/99461c2ad2015d6b51393459a1d9b65e

Länk till kommentar
Dela på andra webbplatser
jason Advanced Member

jason

Postad
Postad

Ett tips till alla som är rädda för att gå på dessa miner är att köra Firefox med "NoScript" plugin, med den igång så körs inga script på några sidor såvida ni inte godkänner det. Vet inte om det ger ett 100% säkerhetskydd mot liknande scam försök som detta, men det ger garanterat bättre skydd än inget alls.

Länk till kommentar
Dela på andra webbplatser
Joeduck Advanced Member

Joeduck

Postad
Postad
måste man verkligen formatera datorn för att få bort skiten?
Blev du infekterad, så ja. Är knappast någon adware precis. Du kan ju se på vissa sajter, t.ex gmail ifall något annat IP har varit där och snokat. Byt lösenord med.

 

Kört den i sandbox. Efter att maskinen vart infekterad så verkade det som att den inte var infekterad. Det är ju poängen med rootkits. Letar man så gömmer det sig. Har inte fått någon klar bild av vad det gör riktigt, men man kan gissa att det är en keylogger inkluderad.

Länk till kommentar
Dela på andra webbplatser
Jeg123 Advanced Member

Jeg123

Postad
Postad
Blev du infekterad, så ja. Är knappast någon adware precis. Du kan ju se på vissa sajter, t.ex gmail ifall något annat IP har varit där och snokat. Byt lösenord med.

 

Kört den i sandbox. Efter att maskinen vart infekterad så verkade det som att den inte var infekterad. Det är ju poängen med rootkits. Letar man så gömmer det sig. Har inte fått någon klar bild av vad det gör riktigt, men man kan gissa att det är en keylogger inkluderad.

 

Hur kan jag ta reda på om jag blivit infekterad? Har gjort en virussökning med AVG som inte hittar något...

Länk till kommentar
Dela på andra webbplatser
Joeduck Advanced Member

Joeduck

Postad
Postad
Hur kan jag ta reda på om jag blivit infekterad? Har gjort en virussökning med AVG som inte hittar något...

 

Såg du en java applet på hemsidan är du med stor sannolikhet infekterad. Gick på ett par sekunder från att den visades till att trojanen startade.

 

apl.exe är filnamnet på droppern som körs med en gång den laddas ned. Kanske ligger i cachen för din webbläsare (sök efter filen i utforskaren), men inte helt omöjligt att någon raderat spåren efteråt om du har haft igång datorn ett tag.

Länk till kommentar
Dela på andra webbplatser

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Gäst
Svara i detta ämne...

×   Du har klistrat in innehåll med formatering.   Ta bort formatering

  Endast 75 max uttryckssymboler är tillåtna.

×   Din länk har automatiskt bäddats in.   Visa som länk istället

×   Ditt tidigare innehåll har återställts.   Rensa redigerare

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Gå till ämneslista
×
×
  • Skapa nytt...