Czyżby to włamanie na pocztę?

[kerpal]

Witam, jeśłi to zły dział to proszę o przeniesienie... Wieć tak, wstałem teraz, chce sie zalogować na pocztę gmail i patrze, nie mogę, niby że ktoś miał jakąś aktywność i sie logował lub próbował, musiałem weryfikowac konto poprzez komórkę i niby jest ok, ale patrzę w skrzynce i w wysłanych takie oto "wynalazki" :

 

 

to w odebranych a w wysłanych:

 

 

 

 

wie ktoś o co chodzi ?

[DawidS28]

Wygląda na to, że tak.

 

Ktoś z Twojego konta rozsyła spam (patrz: KLIK)

 

Zakładam, że to co jest na górze drugiego obrazka to wysłana z Twojego konta wiadomość do cholernie długiej listy kontaktów (zapewne z Twojej książki adresowej) z dziwacznym linkiem do strony w domenie dostawcy hostingu, co wskazuje na pokątną działalność. Treść maila też jest idiotyczna, a GMail słusznie uznał to za spam, stąd automatyczna wiadomość od Mail Delivery Subsystem.

 

Pozostają pytania:

- czy Twoje hasło było na tyle banalne do odgadnięcia, że ktoś sobie z konta korzysta?

- czy jest to działanie wirusa przechwytującego hasła przy logowaniu (podobnie robił Trojan Zeus/Zbot)?

- podawałeś komuś hasło do poczty, a teraz owa osoba spamuje z tego konta?

 

Prześlij jeszcze pełne nagłówki wiadomości przez "Ciebie" wysłanych, to się robi z "Pokaż oryginał".

 

I, oczywiście, kierunek "Dział pomocy doraźnej".

[kerpal]

- czy Twoje hasło było na tyle banalne do odgadnięcia, że ktoś sobie z konta korzysta?

 

NIE

 

- - czy jest to działanie wirusa przechwytującego hasła przy logowaniu (podobnie robił Trojan Zeus/Zbot)?

 

nie wiem ... czym to przeskanować ?

 

- podawałeś komuś hasło do poczty, a teraz owa osoba spamuje z tego konta?

 

NIE

 

 

 

MIME-Version: 1.0

X-Goomoji-Source: ezweb_ne_jp

Received: by 10.216.172.146 with HTTP; Sun, 20 Feb 2011 00:36:36 -0800 (PST)

Date: Sun, 20 Feb 2011 09:36:36 +0100

Delivered-To: kerpal1988@gmail.com

Message-ID: <AANLkTi=exW9-avhHMEPmdGxsh_LFTWgsv-vmT5A_REv6@mail.gmail.com>

Subject:

From: =?ISO-8859-2?B?o3VrYXN6?= <kerpal1988@gmail.com>

To: biuro@artbroker.pl, biuro@cent.com.pl, but1@onet.pl, g.bal@cpcgroup.pl,

B.Margiewicz@impel.pl, anawisniewska85@gmail.com, aneta@stoprocent.com,

asbau87@gmail.com, asia@czart.pl, camille_21@o2.pl, carol-carol@mailplus.pl,

ceneo@allegro.pl, chelles67@wp.pl, cycatanastka@interia.pl,

czerwony-koralik@o2.pl, alicja.kielan@dlastudenta.pl

Content-Type: text/plain; charset=ISO-8859-1

 

http://jyvigoxi.110mb.com/gacopudo.html

AfterM yD aughterL eavesFo rSch oolInTh eMornin g,IHi tWor kOnli ne

[DawidS28]

To jeszcze podeślij pełne źródło wiadomości od Mail Delivery Subsystem.

Ale to jest definitywnie spam, wysyłany z Twojego konta.

 

nie wiem ... czym to przeskanować ?

Standardowo: logi z OTL i Gmera.

[kerpal]

Delivery to the following recipient failed permanently:

 

mrowkawyscigowka@gmail.com

 

Technical details of permanent failure:

Message rejected. See http://mail.google.com/support/bin/answer.py?answer=69585 for more information.

 

----- Original message -----

 

Return-Path: <kerpal1988@gmail.com>

Received-SPF: pass (google.com: domain of kerpal1988@gmail.com designates 10.216.162.131 as permitted sender) client-ip=10.216.162.131;

Authentication-Results: mr.google.com; spf=pass (google.com: domain of kerpal1988@gmail.com designates 10.216.162.131 as permitted sender) smtp.mail=kerpal1988@gmail.com; dkim=pass header.i=kerpal1988@gmail.com

Received: from mr.google.com ([10.216.162.131])

by 10.216.162.131 with SMTP id y3mr215550wek.6.1298191634433 (num_hops = 1);

Sun, 20 Feb 2011 00:47:14 -0800 (PST)

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;

d=gmail.com; s=gamma;

h=domainkey-signature:mime-version:x-goomoji-source:date:message-id

:subject:from:to:content-type;

bh=pypmV5yF8EVa80WpcdqEdcx7Sxie1IKZzZeAleEbXYI=;

b=EYFjxfDghfSEdb0TfesJ/z+jCSyUW04Oo3n2f7cWQdaqhwu1OR9G5aGTVIdxzPgF/u

Hx76x+zwbD1RlIaqu1jmzH6iBxlxrna6bvBP7qL7gldxkwrB3eqkzpRwsdOjLTeGDXwM

h13SRi2k25wZzlGZYuR+s8YpevbLdjj8qgmqQ=

DomainKey-Signature: a=rsa-sha1; c=nofws;

d=gmail.com; s=gamma;

h=mime-version:x-goomoji-source:date:message-id:subject:from:to

:content-type;

b=CE2oDsljOVuTBeut1OVYJg7Z0bjYbXaRpV/DvsRY+NApCI8tXNhLLe5kLskqG3oIu5

4SNf9I1YFONRWaeDbRATqQleGjGcGyOjE3DKFJYh5TfLGPs3hMc7ZVx/sAbyH7D+hv+X

v2O/SY/YHawptr/tuupiH92G7Vs5R65LjJxK8=

- Ukryj cytowany tekst -

MIME-Version: 1.0

Received: by 10.216.162.131 with SMTP id y3mr149525wek.6.1298190978472; Sun,

20 Feb 2011 00:36:18 -0800 (PST)

X-Goomoji-Source: ezweb_ne_jp

Received: by 10.216.172.146 with HTTP; Sun, 20 Feb 2011 00:36:18 -0800 (PST)

Date: Sun, 20 Feb 2011 09:36:18 +0100

Message-ID: <AANLkTimo_SydZCJb--muc4wtrW6S0Ri2VM7q5JAA6-Z=@mail.gmail.com>

Subject:

From: =?ISO-8859-2?B?o3VrYXN6?= <kerpal1988@gmail.com>

To: aida09@o2.pl, ewka099@o2.pl, sevilla.french@googlemail.com,

2005praca@autograf.pl, a.kwiecien@impel.pl, a.lysiak@wts.pl, a.sky@poczta.fm,

accidental5@wp.pl, adak5@o2.pl, adiv@pro.wp.pl, mrowkawyscigowka@gmail.com,

aga_tucha@wp.pl

Content-Type: text/plain; charset=ISO-8859-1

 

http://gozilaxu.110mb.com/lywepazy.html

Posit ion YourI deasOn line

 

 

 

teraz skanuje malwarebytes , wkleje logi tylko z OTL, gmer u mnie nie dziala nawet po wielu próbach usuniecia sterownikow od daemona...

 

malware tez nic nie znalazl, jeszcze ad aware...

 

Ad-aware nie chce sie zainstalować, jest napisane że niby kiedyś coś źle usunalem, a to nie prawda bo zawsze usuwam przez dodaj usun programy... zaraz wrzucam logi

 

 

komp przeskanowany :

 

malwyrebytes > nic nie wykrył

spybot search destroy > nic nie wykrył

norton scan > nic nie wykrył

Extras.Txt

OTL.Txt

[Landuss]

Zabrakło loga z GMER. W tych logach niczego szkodliwego nie ma. Widocznie miałeś łatwe hasło i ktoś je wychwycił.

[kerpal]

Ale kto wychwycił ?? nikt z kompa mojego nie korzysta oprócz mnie, gmera nie wrzuce jak już pisałem bo nie da rady ;]

 

może jakimś antywirem przeskanować, tylko którym ?

[DawidS28]

Możesz przeskanować Dr.Web CureIt!

 

Poza tym, jest jeszcze możliwość, że logowałeś się z zawirusowanego kompa, chociażby w kafejce, miejscach użyteczności publicznej, z publicznych hotspotów i ktoś Ci wykradł dane Firesheepem. Metod jest wiele.

 

A jeśli ktoś nie ma zabezpieczenia autoryzacją SMS, to przejęcie konta jest bardzo proste. Właśnie zrobiłem rekonesans po kontach znajomych (oczywiście za ich zgodą).

 

[Proszę o połączenie z poprzednim tematem]

[kerpal]

Tylko ze swojego się loguje, z cudzych nigdy, mam PC nie laptopa ... no ja jak rano wszedlem to musialem autoryzacje glosowa robic albo smsowa, i dopiero wtedy zalogowalem sie...

[picasso]

Czystości komputera nie da się potwierdzić prostymi logami z OTL.

 

gmera nie wrzuce jak już pisałem bo nie da rady ;]

 

1. Próbuj po kolei odznaczać sekcje w konfiguracji skanu GMER, zacznij od IAT/EAT, nie pomoże = próbuj z innymi, aż trafisz na tę która tworzy problem.

 

2. Ponadto, dorzuć logi z: Kaspersky TDSSKiller, MBRCheck, aswMBR.

 

3. Podsuwam też darmowy program zabezpieczający przez keyloggerami: SpyShelter Personal Free

 

 

 

.

[kerpal]

no gmer się skanuje bez tego IAT/EAT , od 2 godzin... coś długo bardzo xd

[picasso]

Długi skan jest spodziewany, w końcu GMER ma ustawione skanowanie systemu plików. Nie przeszkadzaj mu, nic nie uruchamiaj w międzyczasie, najlepiej komputer zostawić w zupełnej bezczynności, aż do czasu uzyskania wyników. Czekam również na odczyty z podanych wyżej programów.

[kerpal]

No dopiero co skonczyl gmer skanowac, wklejam teraz log od niego, a reszte jutro przeskanuje

gmer.txt

[picasso]

Emulacja wirtuali nie została zdjęta (widać dużo odczytów z losowych tworów tejże emulacji), co niejako zaciemnia obraz. Póki co, ja tu widzę na razie tylko ślady po infekcji w MBR w sektorze 61. Oczekuję więc na resztę danych.

[kerpal]

W kasperskym jest NOT FOUND to chyba nawet nie mam co wklejać...

MBRCheck_02.21.11_14.41.36.txt

aswMBR.txt

[picasso]

W kasperskym jest NOT FOUND to chyba nawet nie mam co wklejać...

 

Co to znaczy? Czy masz na myśli, że link się nie otwiera? Wszystkie linki działają .... A może masz na myśli, że narzędzie nie wykrywa żadnej infekcji i dlatego nie warto wklejać loga?

 

Natomiast log z aswMBR.txt pokazuje ten sam kod rootkita Mebroot oraz wywołania "UNKNOWN" (ale tu nie jestem pewna czy tu odczyt nie jest zmiksowany z emulatorem napędów wirtualnych = dlatego to takie ważne wymontować te emulatory...). Z drugiej strony, rootkit MBR pasowałby do tego zdarzenia z pocztą, ten typ infekcji zajmuje się wyciekiem haseł.... Zlikwiduj emulator wirtuali narzędziem SPTDinst (KLIK), zresetuj komputer i powtórz odczyt z aswMBR.

 

 

 

.

[kerpal]

Kaspersky nie wykrywa żadnej infekcji ;p

 

Użyłem defroggera , wklejam loga tutaj bo do załączników coś nie mogę:

 

defogger_disable by jpshortstuff (23.02.10.1)

Log created at 18:32 on 21/02/2011 (lukasz)

 

Checking for autostart values...

HKCU\~\Run values retrieved.

HKLM\~\Run values retrieved.

 

Checking for services/drivers...

Unable to read sptd.sys

SPTD -> Disabled (Service running -> reboot required)

 

 

-=E.O.F=-

aswMBR.txt

[picasso]

Czy to na pewno log po restarcie, gdy nie działa SPTD? Jakoś nie sądzę, w logu z aswMBR jest sterownik spfb.sys w ciągu sugerujący jak najbardziej czynną emulację.

[kerpal]

Ten co dałem teraz na pewno, utworzył się na puplicie

aswMBR.txt

[picasso]

kerpal, po wyłączeniu SPTD ustąpiło odwołanie "UNKNOWN", czyli to musi pochodzić od emulacji wirtualnej. Kompletując wszystkie dane: widzę tu tylko ślady po rootkicie w MBR (z tymi śladami już się nic nie robi) a nie infekcję w stanie czynnym. Ale: rootkit w MBR tu na pewno był, bo pozostał po nim kod. Myśmy tego na forum nie leczyli (przypominasz sobie usuwanie tej infekcji jakimś skanerem?) i nie jest nawet wiadome jak dawno temu ta infekcja miała miejsce. Jest jednak możliwe, że ów rootkit wtedy sprzątnął Ci hasła i po prostu ostatnio zostały użyte ... Zawsze po infekcjach w MBR należy zmieniać cały set haseł.

 

Sumarycznie: ze swojej strony mogę tylko ponownie polecić ochronę SpyShelter Personal Free.

[DawidS28]

Przepraszam, że się wtrącę.

 

Ty IM jeszcze wierzysz!?

"Specjalistom" z SE zwracam uwagę, że w mailu jest podany powód, dlaczego wiadomość nie doszła.

 

http://www.sami-wiecie-co.pl/Czyzby-to-wlamanie-na-poczte-t142767.html

 

A propos Zeusa: tak, to wirus głównie komórkowy, tyle, że musi najpierw przechwycić hasło do konta bankowego z poziomu komputera (potem dopiero dobrać się do telefonu i SMS-ów od banku). Przykład dlatego, że trojan jest dosyć popularny.

 

PS. To jest autorka Zeus/Zbot: http://damncoolpics.blogspot.com/2010/10/kristina-svechinskaya-is-worlds-sexiest.html

[kerpal]

Myśmy tego na forum nie leczyli (przypominasz sobie usuwanie tej infekcji jakimś skanerem?)

 

 

mogę napisać czym skanowałem od tego czasu czyli od niedzieli rano:

 

-spybot search&destroy

-malwarebytes

-dr web cure it

-norton security scan

 

 

to chyba wszystko

[picasso]

kerpal nie o to mi chodzi (przecież jasno mówiłeś, że nic nie zostało wykryte skanerami). Ja pytam czy sobie przypominasz leczenie infekcji MBR wcześniej, zanim zastąpiło zdarzenie z pocztą. Widzę w raportach kod rootkita Mebroot. Żadne z narzędzi nie wskazuje, by były hooki tego rootkita. Wnioski: infekcja była usuwana wcześniej, po niej i tak zostają właśnie takie ślady w sektorach (ich wymazanie całkowite to tylko wyzerowanie całej ścieżki obejmującej te sektory = to zniszczy też system operacyjny).

 

PS. A Spybot i Norton Security Scan to nie za bardzo. Spybot od dawna ledwo zipie i możesz spokojnie położyć na nim kreskę. Jeszcze ewentualnie zrób skan przez Kaspersky Removal Tool.

[kerpal]

Nie nie przypominam sobie zebym cos takiego robil...

 

Dawid no no , taka panienka i takie rzeczy robi... w pale sie nie miesci...