-
11. Data: 2008-10-20 10:39:52
Temat: Re: mBank wirus?
Od: "darnok" <d...@a...spam.ch>
In news:48fc4e65$1@news.home.net.pl, *Papkin* wrote:
> I co przegladarka nie "wyje" nt lewego certyfikatu, pewnie self
> signed?
> Zrob screena tego "mbanku" i wlasciwosci certyfikat - w FF 3.0.x
> kliknij po prostu mini ikonke obok https:// ...
>
> Nie jest latwo robic w trabe przy tych zabezpieczeniach, nigdy sie na
> tym dokladniej nie zastanawialem ale w sumie wszystko jest mozliwe na
> przyklad przez podmienienie bibliotek przegladarki tak by usunac z
> niej ostrzezenia o certyfikacie blednym ;)
Ten wirusik nie ingeruje w certyfikaty.
On po wlasciwym zalogowaniu do banku przykrywa wlasciwa strone banku layerem
z prosba o haselka.
Po wpisaniu haselek (np losowych) i zaakceptowaniu layer znika i mozna
spokojnie dzialac na swoim koncie.
To jest bardzo sprytne, bo to nie ingeruje w tresc strony www, tylko z
poziomu przegladarki podsuwa cos.
Problemem jest tylko to ze to gowno ma keyloggera + prosba o te haselka
jednorazowe. dodatkowo wedlug opisu z netu potrafi robic screeny a wszystko
odsyla na jakies adresy c...@c...com.
--
darnok
"TRAGEdia: A ja TRUskawki CUkrem..."
-
12. Data: 2008-10-20 10:40:35
Temat: Re: mBank wirus?
Od: rafal <r...@n...none>
Jeśli to rzeczywiście podstawiona strona to pewnie zapisała sobie Twój
login i hasło... generalnie radziłbym z innego, bezpiecznego, pewnego
kompa zmienić co najmniej hasło oraz obserwować datę ostatniego udanego
/ nieudanego logowania na stronie banku.
Z drugiej strony trochę dziwi brak zainteresowania banku - poradzili
hasła smsowe zamiast próbować dowiedzieć się czegoś więcej (np dochodzić
jaki jest prawdziwy adres podstawionej strony) lub doradzić właśnie
natychmiastową zmianę hasła, czy nawet chwilową blokadę konta.
-
13. Data: 2008-10-20 10:58:55
Temat: Re: mBank wirus?
Od: "Mariusze" <f...@p...onet.pl>
Użytkownik "darnok" <d...@a...spam.ch> napisał w
wiadomości news:gdhn8q$pfr$1@atlantis.news.neostrada.pl...
> In news:48fc4e65$1@news.home.net.pl, *Papkin* wrote:
>
> > I co przegladarka nie "wyje" nt lewego certyfikatu, pewnie self
> > signed?
> > Zrob screena tego "mbanku" i wlasciwosci certyfikat - w FF 3.0.x
> > kliknij po prostu mini ikonke obok https:// ...
> >
> > Nie jest latwo robic w trabe przy tych zabezpieczeniach, nigdy sie na
> > tym dokladniej nie zastanawialem ale w sumie wszystko jest mozliwe na
> > przyklad przez podmienienie bibliotek przegladarki tak by usunac z
> > niej ostrzezenia o certyfikacie blednym ;)
>
> Ten wirusik nie ingeruje w certyfikaty.
> On po wlasciwym zalogowaniu do banku przykrywa wlasciwa strone banku
layerem
> z prosba o haselka.
> Po wpisaniu haselek (np losowych) i zaakceptowaniu layer znika i mozna
> spokojnie dzialac na swoim koncie.
> To jest bardzo sprytne, bo to nie ingeruje w tresc strony www, tylko z
> poziomu przegladarki podsuwa cos.
> Problemem jest tylko to ze to gowno ma keyloggera + prosba o te haselka
> jednorazowe. dodatkowo wedlug opisu z netu potrafi robic screeny a
wszystko
> odsyla na jakies adresy c...@c...com.
Linia proponowała blokadę przez wpisanie błędnych haseł.
Hasło sobie zmieniłem z drugiej przeglądarki.
Na razie mam tyle:
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
MBR rootkit code detected !
malicious code @ sector 0x747059c1 size 0x1b3 !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
-
14. Data: 2008-10-20 11:29:44
Temat: Re: mBank wirus?
Od: "Mariusze" <f...@p...onet.pl>
Użytkownik "Mariusze" <f...@p...onet.pl> napisał w
wiadomości news:gdhfo1$rfv$1@news.onet.pl...
> Po zalogowaniu prośba o 5 hasełek, i to nieuzywanych.
> Skąd mam wiedzieć które już użyłem....
>
> Kontakt z infolinią...
> - pobrać arcamicroscan 2008
> - zlikwidować posiadane listy haseł!
> - przejść na smsy
>
> Dopiero odebrałem 4 listy papierowe.
>
> System mam odtworzony z kopii zapasowej,
> jeśli trzeba cofnę kompa o kilka lat z kopii..
>
> Drodzy państwo, co się stało?
Właściwym było uzycie "mbr.exe -f"
Ale to w ogromnym skrócie, bo pomogliście mi.
Potem w gogle "combofix mbank", czytałem z pierwszego linku i odnośniki.
Ciekawe, zmieniłem hasła i mBank przyjął hasło 32 znakowe, a MultiBank
zakrzyczał że tylko 20 znaków przyjmie.
Co to za wredota była?
Dziękuję.
-
15. Data: 2008-10-20 13:39:33
Temat: Re: mBank wirus?
Od: "." <b...@b...pl>
> Co to za wredota była?
Prawdopodobnie pobrałeś lewy upgrade flashplayera - chyba na forum mbanku
czytałem.
-
16. Data: 2008-10-20 15:13:44
Temat: Re: mBank wirus?
Od: "r...@k...pl" <r...@k...pl>
Mon, 20 Oct 2008 10:31:01 +0200, w <gdhfo1$rfv$1@news.onet.pl>, "Mariusze"
<f...@p...onet.pl> napisał(-a):
> Drodzy państwo, co się stało?
Skutek przeglądania niemieckich stron obyczajowych ;p
-
17. Data: 2008-10-20 20:19:43
Temat: Re: mBank wirus?
Od: PSYLO <p...@o...pl>
darnok pisze:
> Na SMSy przechodzic nie musisz :) To marketing banku juz byl ;-)
Bardzo słuszny swoją drogą, nie rozumiem jak można jeszcze korzystać z
papierowych list niezabezpieczonych haseł jeśli dostępne są SMS-owe.
--
_PSYLO_ | http://www.cafepc.pl
Gad: 5563748 |
____________________________________________________
____
E-mail podany w nagłówku nie jest sprawdzany regularnie.
-
18. Data: 2008-10-20 22:02:06
Temat: Re: mBank wirus?
Od: "uC" <b...@u...uc>
"." <b...@b...pl> wrote in message
news:gdi1q7$mab$1@atlantis.news.neostrada.pl...
>> Co to za wredota była?
>
> Prawdopodobnie pobrałeś lewy upgrade flashplayera - chyba na forum mbanku
> czytałem.
bo sie nie pracuje na uprawnieniach admina!
pzdr.,
uC
-
19. Data: 2008-10-21 23:31:38
Temat: Re: mBank wirus?
Od: Animka <a...@t...nie.ja.wp.pl>
W dniu 2008-10-20 11:25 Grzegorz M napisał/a:
> sprawdź w katalogu
> %windir%\system32\drivers\etc
> otwórz plik hosts przy pomocy notatnika i sprawdź, czy nie ma tam nadpisanej
> domeny mbank.com.pl na inne ip
A ja mam tu plik "quotes" a w nim to:
"My spelling is Wobbly. It's good spelling but it Wobbles, and the letters
get in the wrong places." A. A. Milne (1882-1958)
%
"Man can climb to the highest summits, but he cannot dwell there long."
George Bernard Shaw (1856-1950)
%
"In Heaven an angel is nobody in particular." George Bernard Shaw
(1856-1950)
%
"Assassination is the extreme form of censorship."
George Bernard Shaw (1856-1950)
%
"When a stupid man is doing something he is ashamed of, he always declares
that it is his duty." George Bernard Shaw (1856-1950)
%
"We have no more right to consume happiness without producing it than to
consume wealth without producing it." George Bernard Shaw (1856-1950)
%
"We want a few mad people now. See where the sane ones have landed us!"
George Bernard Shaw (1856-1950)
%
"The secret of being miserable is to have leisure to bother about whether
you are happy or not. The cure for it is occupation."
George Bernard Shaw (1856-1950)
%
"Here's the rule for bargains: "Do other men, for they would do you."
That's the true business precept." Charles Dickens (1812-70)
%
"Oh the nerves, the nerves; the mysteries of this machine called man!
Oh the little that unhinges it, poor creatures that we are!"
Charles Dickens (1812-70)
%
"A wonderful fact to reflect upon, that every human creature is constituted
to be that profound secret and mystery to every other."
Charles Dickens (1812-70)
%
"It was as true as taxes is. And nothing's truer than them."
Charles Dickens (1812-70)
%
Nie daje się ten plik usunąć!
--
animka
-
20. Data: 2008-10-21 23:48:49
Temat: Re: mBank wirus?
Od: Animka <a...@t...nie.ja.wp.pl>
W dniu 2008-10-20 11:25 Grzegorz M napisał/a:
> sprawdź w katalogu
> %windir%\system32\drivers\etc
> otwórz plik hosts przy pomocy notatnika i sprawdź, czy nie ma tam nadpisanej
> domeny mbank.com.pl na inne ip
Jeszcze plik services. Nie można tego wyczyścić? (np. jakaś poczta)
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Ten plik zawiera numery portów dla dobrze znanych usług zdefiniowane
# w dokumencie IANA.
#
# Format:
#
# <nazwa usługi> <numer portu>/<protokól> [alias...] [#<komentarz>]
#
echo 7/tcp
echo 7/udp
discard 9/tcp sink null
discard 9/udp sink null
systat 11/tcp users #Użytkownicy aktywni
systat 11/tcp users #Użytkownicy aktywni
daytime 13/tcp
daytime 13/udp
qotd 17/tcp quote #Cytat dnia
qotd 17/udp quote #Cytat dnia
chargen 19/tcp ttytst source #Generator znaków
chargen 19/udp ttytst source #Generator znaków
ftp-data 20/tcp #FTP, dane
ftp 21/tcp #FTP. control
telnet 23/tcp
smtp 25/tcp mail #Simple Mail
Transfer Protocol
time 37/tcp timserver
time 37/udp timserver
rlp 39/udp resource #Protokół
lokalizowania zasobów
nameserver 42/tcp name #Serwer nazw hostów
nameserver 42/udp name #Serwer nazw hostów
nicname 43/tcp whois
domain 53/tcp #Serwer nazw domen
domain 53/udp #Serwer nazw domen
bootps 67/udp dhcps #Serwer protokołu
Bootstrap
bootpc 68/udp dhcpc #Klient protokołu
Bootstrap
tftp 69/udp #Trywialny transfer
plików
gopher 70/tcp
finger 79/tcp
http 80/tcp www www-http #Sieć Web
kerberos 88/tcp krb5 kerberos-sec #Kerberos
kerberos 88/udp krb5 kerberos-sec #Kerberos
hostname 101/tcp hostnames #Serwer nazw hostów NIC
iso-tsap 102/tcp #ISO-TSAP klasy 0
rtelnet 107/tcp #Usługa zdalnego
protokołu Telnet
pop2 109/tcp postoffice #Protokół urzędu
pocztowego - wersja 2
pop3 110/tcp #Protokół urzędu
pocztowego - wersja 3
sunrpc 111/tcp rpcbind portmap #Zdalne wywoływanie
procedur SUN
sunrpc 111/udp rpcbind portmap #Zdalne wywoływanie
procedur SUN
auth 113/tcp ident tap #Protokół identyfikacji
uucp-path 117/tcp
nntp 119/tcp usenet #Protokół transferu
wiadomości sieciowych
ntp 123/udp #Protokół czasu
sieciowgo
epmap 135/tcp loc-srv #Rozpoznawanie
punktów końcowych DCE
epmap 135/udp loc-srv #Rozpoznawanie
punktów końcowych DCE
netbios-ns 137/tcp nbname #Usługa nazw NETBIOS
netbios-ns 137/udp nbname #Usługa nazw NETBIOS
netbios-dgm 138/udp nbdatagram #Usługa datagramów
NETBIOS
netbios-ssn 139/tcp nbsession #Usługa sesji NETBIOS
imap 143/tcp imap4 #Protokół dostępu do
wiadomości internetowych (IMAP)
pcmail-srv 158/tcp #Serwer PCMail
snmp 161/udp #SNMP
snmptrap 162/udp snmp-trap #Pułapka SNMP
print-srv 170/tcp #PostScript sieciowy
bgp 179/tcp #Protokół bram
granicznych
irc 194/tcp #Protokół Internet
Relay Chat (IRC)
ipx 213/udp #IPX prze IP
ldap 389/tcp #Lightweight
Directory Access Protocol
https 443/tcp MCom
https 443/udp MCom
microsoft-ds 445/tcp
microsoft-ds 445/udp
kpasswd 464/tcp # Kerberos (v5)
kpasswd 464/udp # Kerberos (v5)
isakmp 500/udp ike #Internetowa wymiana
kluczy
exec 512/tcp #Zdalne wykonywanie
procesów
biff 512/udp comsat
login 513/tcp #Logowanie zdalne
who 513/udp whod
cmd 514/tcp shell
syslog 514/udp
printer 515/tcp spooler
talk 517/udp
ntalk 518/udp
efs 520/tcp #Rozszerzony serwer
nazw plików
router 520/udp route routed
timed 525/udp timeserver
tempo 526/tcp newdate
courier 530/tcp rpc
conference 531/tcp chat
netnews 532/tcp readnews
netwall 533/udp #Emisje awaryjne
uucp 540/tcp uucpd
klogin 543/tcp #Logowanie Kerberos
kshell 544/tcp krcmd #Zdalna powłoka Kerberos
new-rwho 550/udp new-who
remotefs 556/tcp rfs rfs_server
rmonitor 560/udp rmonitord
monitor 561/udp
ldaps 636/tcp sldap #LDAP przez TLS/SSL
doom 666/tcp #Doom Id Software
doom 666/udp #Doom Id Software
kerberos-adm 749/tcp #Administracja Kerberos
kerberos-adm 749/udp #Administracja Kerberos
kerberos-iv 750/udp #Kerberos wersja IV
kpop 1109/tcp #Kerberos POP
phone 1167/udp #Wywołania konferencyjne
ms-sql-s 1433/tcp #Microsoft-SQL-Server
ms-sql-s 1433/udp #Microsoft-SQL-Server
ms-sql-m 1434/tcp #Microsoft-SQL-Monitor
ms-sql-m 1434/udp
#Microsoft-SQL-Monitor
wins 1512/tcp #Microsoft Windows
Internet Name Service
wins 1512/udp #Microsoft Windows
Internet Name Service
ingreslock 1524/tcp ingres
l2tp 1701/udp #Protokół
tunelowania warstwy drugiej
pptp 1723/tcp #Protokół
tunelowania Point-to-point
radius 1812/udp #Protokół
uwierzytelniania RADIUS
radacct 1813/udp #Protokół kont RADIUS
nfsd 2049/udp nfs #Serwer NFS
knetd 2053/tcp #Protokół
demultipleksowania Kerberos
man 9535/tcp #Serwer zdalnej
dokumentacji Man
--
animka