Dziwny atak phishingowy?

4

Kiedy loguję się do Wachovia / Wells Fargo / Amazon / Paypal, bez względu na wstawionego przeze mnie użytkownika / przepustkę, pojawia się strona „Musimy zweryfikować Twoje informacje”, gdzie pytają mnie o wszystko, od numeru PIN bankomatu do mojego SSN do mojego panieńskie nazwisko mamy (LOL)

Następnie, gdy wstawiam fałszywe dane, nadal żądają coraz większej liczby danych osobowych, takich jak numery osób często podróżujących, weryfikowane hasłem wizowym itd., Dopóki nie przejdę do strony weryfikacji zweryfikowanej przez wizę (z odpowiednim SSL na visa.com !!!) za sumę ukrytą przez białego diva.

Więcej danych:

  1. Adres jest prawidłowy (nie www.amazon.com.frtrereeliamdumb.com, ale amazon.com Z PRAWEM SSL)
  2. Plik hosts nie jest modyfikowany
  3. dns jest niezawodny, 8.8.8.8
  4. amazon.com rozwiązuje poprawnie
  5. SSL jest ważny
  6. wykrywanie ruchu nie pokazuje niczego podejrzanego
  7. mam przewodowy internet
  8. Nie działa żaden dziwny proces
  9. Opera pozostaje nienaruszona, ma na nią wpływ Firefox i ie (więc nie jest to nieuczciwe rozszerzenie FF)
  10. Dbam o bezpieczeństwo i uruchamiam wszystko w piaskownicy, nie mam java, mam av (więc, jak mogę dostać tego wirusa ???)
  11. programy administracyjne, takie jak regedit i taskmgr, działają i nie są blokowane przez tego wirusa

Co może być???

rootkit phishing man-in-the-middle Magnetic_dud
źródło
Podnieś telefon i zadzwoń do Wellsa Fargo. Sugeruję, byś poprosił ich o zmianę hasła, dopóki się nie załatwisz.
Moab
Ok, spójrz na stronę, którą otrzymuję pod tym adresem: paypal.com/it/cgi-bin/webscr?cmd=_login-submit => pastie.org/1609236 www.paypal.com rozwiązany pod 64.4.241.49 - po prawej. Podobna strona pojawia się na amazon.com i wachovia.com
Magnetic_dud
I inny przykład, pod tym adresem: amazon.com/gp/flex/sign-in/select.html/ref=ya_sign_in_ dostaję to: pastie.org/1609260 , zamiast tego onlineservices.wachovia.com/auth/AuthService otrzymuję to : pastie.org/1609262 .. muszę zrozumieć, co się dzieje, aby w przyszłości tak się nie stało (tak, już zmieniłem hasło z czystego komputera)
Magnetic_dud

Odpowiedzi:

3

Pan, proszę pana, zainstalować złośliwe oprogramowanie na komputerze klienckim. To oprogramowanie prawdopodobnie „nasłuchuje” popularnych procesów przeglądarki (tj. IE i FF) i przechwytuje ruch HTTP, dołączając do niego „frtree ... com”.

Trudno powiedzieć dokładnie, co to jest i jak się tam dostało, ale jedno jest jasne: musisz znaleźć skaner antywirusowy, który go usunie lub uruchomi system operacyjny.

Edycja: z mojego doświadczenia wynika, że ​​zajmuje dużo mniej czasu (i mniej stresu związanego z absolutną pewnością, że go usunąłeś), aby podłączyć system operacyjny niż do wyśledzenia robala i zabicia go.

Jozuego
źródło
nie, to nie tak, sniffer http pokazuje, że wszystko wskazuje na właściwą nazwę domeny
Magnetic_dud
Wyczyściłem dysk twardy (w marcu 2011 roku!) I naprawiłem problem, więc tak, zostałem zainfekowany. Nie mogłem w to uwierzyć. :)
Magnetic_dud
2

Czy to możliwe, że Twój router został zainfekowany przez wirusa i przekierowuje ruch?

Jeff Bolduan
źródło
1
Router to Thomson TG585, który dał mi ISP. Ma błąd, w którym ludzie mogą odgadnąć hasło wpa2 znając adres mac - więc wlan jest wyłączony. Ale z innych komputerów w tej samej sieci nie otrzymuję tego dziwnego wyniku ...
Magnetic_dud
W takim przypadku prawdopodobnie zmniejszyłbym moje straty i albo wypróbowałem inny AV, a jeśli to się nie powiedzie, to sformatuj. Jeśli wirus potrafi się tak dobrze ukryć, nie warto ryzykować. Chciałbym również wyczyścić sektor rozruchowy dysku, który jest często pomijany.
Jeff Bolduan
Próbowałem nod32, ale bez powodzenia
Magnetic_dud
Powinieneś także użyć niezainfekowanego komputera, aby natychmiast zmienić wszystkie hasła do konta, zwłaszcza bankowego / finansowego.
BBlake,
0

Możesz zostać zainfekowany

Postępuj zgodnie z kolejnością podaną poniżej, aby wyleczyć komputer

1.) Na komputerze, który nie jest zainfekowany, utwórz bootowalny dysk AV, a następnie uruchom komputer z dysku na zainfekowanym komputerze i zeskanuj dysk twardy, usuń wszelkie znalezione infekcje. Sam wolę dysk Kaspersky. Nowy dysk Kaspersky 2010 może aktualizować pliki danych AV, jeśli podczas skanowania masz połączenie z Internetem i zaleca się aktualizację przed skanowaniem.

http://www.techmixer.com/free-bootable-antivirus-rescue-cds-download-list/

2.) Następnie: Zainstaluj bezpłatny MBAM, uruchom program i przejdź do karty Aktualizacja i zaktualizuj go, a następnie przejdź do karty Skaner i wykonaj szybkie skanowanie, zaznacz i usuń wszystko, co znajdzie.

http://download.cnet.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html

3.) Po zakończeniu MBAM zainstaluj bezpłatną wersję SAS, uruchom szybkie skanowanie, usuń to, co automatycznie wybierze. http://www.superantispyware.com/download.html

Te ostatnie 2 nie są oprogramowaniem AV, takim jak Norton, są skanerami na żądanie, które skanują tylko w poszukiwaniu złośliwych programów podczas uruchamiania programu i nie będą zakłócały zainstalowanego oprogramowania AV. Można je uruchamiać raz dziennie lub tygodniowo, aby zapewnić, że nie zostaniesz zainfekowany. Pamiętaj o ich aktualizacji przed każdym codziennym skanowaniem co tydzień.

Moab
źródło
0

Sprawdź dokładnie ustawienia sieciowe. Mogło się zdarzyć, że masz złośliwe oprogramowanie, które wskazuje na zły serwer nazw domen. Oznacza to, że wygląda na to, że docierasz do właściwych adresów internetowych, nawet jeśli wyraźnie tego nie robisz.

Innym sposobem na przetestowanie tego jest próba uzyskania dostępu do znanych witryn anty-malware, takich jak Malwarebtyes . Często są one blokowane.

Uzyskaj okno dialogowe Właściwości połączenia lokalnego i wybierz kartę Ogólne. Następnie wybierz wiersz „Protokół internetowy (TCP / IP)” i wybierz „Właściwości”

W nowym oknie dialogowym na karcie Ogólne sprawdź, czy opcja serwera DNS została ustawiona na „Użytkownik następujący adres serwera DNS”. Jeśli zanotował adresy IP.

Następnie przejdź do swojego usługodawcy internetowego i sprawdź, czy zalecił ustawienie tych wartości. Jeśli nie zresetują przełącznika na „Uzyskaj adres serwera DNS automatycznie”. Jeśli tak, sprawdź, czy adresy IP są zgodne.

Nadal będziesz musiał wykonać kroki, aby wyczyścić komputer, ponieważ nie ma gwarancji, że nie będzie uruchomiony proces, który utrzyma to ustawienie wskazujące na złe serwery.

ChrisF
źródło
strona nie jest zablokowana - pobierane i instalowane złośliwe oprogramowanie - teraz skanuje.
Magnetic_dud,