In news:48fc4e65$1@news.home.net.pl, *Papkin* wrote:

> I co przegladarka nie "wyje" nt lewego certyfikatu, pewnie self
> signed?
> Zrob screena tego "mbanku" i wlasciwosci certyfikat - w FF 3.0.x
> kliknij po prostu mini ikonke obok https:// ...
>
> Nie jest latwo robic w trabe przy tych zabezpieczeniach, nigdy sie na
> tym dokladniej nie zastanawialem ale w sumie wszystko jest mozliwe na
> przyklad przez podmienienie bibliotek przegladarki tak by usunac z
> niej ostrzezenia o certyfikacie blednym ;)

Ten wirusik nie ingeruje w certyfikaty.
On po wlasciwym zalogowaniu do banku przykrywa wlasciwa strone banku layerem
z prosba o haselka.
Po wpisaniu haselek (np losowych) i zaakceptowaniu layer znika i mozna
spokojnie dzialac na swoim koncie.
To jest bardzo sprytne, bo to nie ingeruje w tresc strony www, tylko z
poziomu przegladarki podsuwa cos.
Problemem jest tylko to ze to gowno ma keyloggera + prosba o te haselka
jednorazowe. dodatkowo wedlug opisu z netu potrafi robic screeny a wszystko
odsyla na jakies adresy c...@c...com.

--
darnok
"TRAGEdia: A ja TRUskawki CUkrem..."

do góry

Jeśli to rzeczywiście podstawiona strona to pewnie zapisała sobie Twój
login i hasło... generalnie radziłbym z innego, bezpiecznego, pewnego
kompa zmienić co najmniej hasło oraz obserwować datę ostatniego udanego
/ nieudanego logowania na stronie banku.


Z drugiej strony trochę dziwi brak zainteresowania banku - poradzili
hasła smsowe zamiast próbować dowiedzieć się czegoś więcej (np dochodzić
jaki jest prawdziwy adres podstawionej strony) lub doradzić właśnie
natychmiastową zmianę hasła, czy nawet chwilową blokadę konta.

do góry

Użytkownik "darnok" <d...@a...spam.ch> napisał w
wiadomości news:gdhn8q$pfr$1@atlantis.news.neostrada.pl...
> In news:48fc4e65$1@news.home.net.pl, *Papkin* wrote:
>
> > I co przegladarka nie "wyje" nt lewego certyfikatu, pewnie self
> > signed?
> > Zrob screena tego "mbanku" i wlasciwosci certyfikat - w FF 3.0.x
> > kliknij po prostu mini ikonke obok https:// ...
> >
> > Nie jest latwo robic w trabe przy tych zabezpieczeniach, nigdy sie na
> > tym dokladniej nie zastanawialem ale w sumie wszystko jest mozliwe na
> > przyklad przez podmienienie bibliotek przegladarki tak by usunac z
> > niej ostrzezenia o certyfikacie blednym ;)
>
> Ten wirusik nie ingeruje w certyfikaty.
> On po wlasciwym zalogowaniu do banku przykrywa wlasciwa strone banku
layerem
> z prosba o haselka.
> Po wpisaniu haselek (np losowych) i zaakceptowaniu layer znika i mozna
> spokojnie dzialac na swoim koncie.
> To jest bardzo sprytne, bo to nie ingeruje w tresc strony www, tylko z
> poziomu przegladarki podsuwa cos.
> Problemem jest tylko to ze to gowno ma keyloggera + prosba o te haselka
> jednorazowe. dodatkowo wedlug opisu z netu potrafi robic screeny a
wszystko
> odsyla na jakies adresy c...@c...com.

Linia proponowała blokadę przez wpisanie błędnych haseł.
Hasło sobie zmieniłem z drugiej przeglądarki.

Na razie mam tyle:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
MBR rootkit code detected !
malicious code @ sector 0x747059c1 size 0x1b3 !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.

do góry

Użytkownik "Mariusze" <f...@p...onet.pl> napisał w
wiadomości news:gdhfo1$rfv$1@news.onet.pl...
> Po zalogowaniu prośba o 5 hasełek, i to nieuzywanych.
> Skąd mam wiedzieć które już użyłem....
>
> Kontakt z infolinią...
> - pobrać arcamicroscan 2008
> - zlikwidować posiadane listy haseł!
> - przejść na smsy
>
> Dopiero odebrałem 4 listy papierowe.
>
> System mam odtworzony z kopii zapasowej,
> jeśli trzeba cofnę kompa o kilka lat z kopii..
>
> Drodzy państwo, co się stało?

Właściwym było uzycie "mbr.exe -f"
Ale to w ogromnym skrócie, bo pomogliście mi.
Potem w gogle "combofix mbank", czytałem z pierwszego linku i odnośniki.

Ciekawe, zmieniłem hasła i mBank przyjął hasło 32 znakowe, a MultiBank
zakrzyczał że tylko 20 znaków przyjmie.

Co to za wredota była?

Dziękuję.

do góry

> Co to za wredota była?

Prawdopodobnie pobrałeś lewy upgrade flashplayera - chyba na forum mbanku
czytałem.

do góry

Mon, 20 Oct 2008 10:31:01 +0200, w <gdhfo1$rfv$1@news.onet.pl>, "Mariusze"
<f...@p...onet.pl> napisał(-a):

> Drodzy państwo, co się stało?

Skutek przeglądania niemieckich stron obyczajowych ;p

do góry

darnok pisze:
> Na SMSy przechodzic nie musisz :) To marketing banku juz byl ;-)

Bardzo słuszny swoją drogą, nie rozumiem jak można jeszcze korzystać z
papierowych list niezabezpieczonych haseł jeśli dostępne są SMS-owe.

--
_PSYLO_ | http://www.cafepc.pl
Gad: 5563748 |
____________________________________________________
____
E-mail podany w nagłówku nie jest sprawdzany regularnie.

do góry

"." <b...@b...pl> wrote in message
news:gdi1q7$mab$1@atlantis.news.neostrada.pl...
>> Co to za wredota była?
>
> Prawdopodobnie pobrałeś lewy upgrade flashplayera - chyba na forum mbanku
> czytałem.

bo sie nie pracuje na uprawnieniach admina!
pzdr.,
uC

do góry

W dniu 2008-10-20 11:25 Grzegorz M napisał/a:
> sprawdź w katalogu
> %windir%\system32\drivers\etc
> otwórz plik hosts przy pomocy notatnika i sprawdź, czy nie ma tam nadpisanej
> domeny mbank.com.pl na inne ip

A ja mam tu plik "quotes" a w nim to:
"My spelling is Wobbly. It's good spelling but it Wobbles, and the letters
get in the wrong places." A. A. Milne (1882-1958)
%
"Man can climb to the highest summits, but he cannot dwell there long."
George Bernard Shaw (1856-1950)
%
"In Heaven an angel is nobody in particular." George Bernard Shaw
(1856-1950)
%
"Assassination is the extreme form of censorship."
George Bernard Shaw (1856-1950)
%
"When a stupid man is doing something he is ashamed of, he always declares
that it is his duty." George Bernard Shaw (1856-1950)
%
"We have no more right to consume happiness without producing it than to
consume wealth without producing it." George Bernard Shaw (1856-1950)
%
"We want a few mad people now. See where the sane ones have landed us!"
George Bernard Shaw (1856-1950)
%
"The secret of being miserable is to have leisure to bother about whether
you are happy or not. The cure for it is occupation."
George Bernard Shaw (1856-1950)
%
"Here's the rule for bargains: "Do other men, for they would do you."
That's the true business precept." Charles Dickens (1812-70)
%
"Oh the nerves, the nerves; the mysteries of this machine called man!
Oh the little that unhinges it, poor creatures that we are!"
Charles Dickens (1812-70)
%
"A wonderful fact to reflect upon, that every human creature is constituted
to be that profound secret and mystery to every other."
Charles Dickens (1812-70)
%
"It was as true as taxes is. And nothing's truer than them."
Charles Dickens (1812-70)
%

Nie daje się ten plik usunąć!


--
animka

do góry

W dniu 2008-10-20 11:25 Grzegorz M napisał/a:
> sprawdź w katalogu
> %windir%\system32\drivers\etc
> otwórz plik hosts przy pomocy notatnika i sprawdź, czy nie ma tam nadpisanej
> domeny mbank.com.pl na inne ip


Jeszcze plik services. Nie można tego wyczyścić? (np. jakaś poczta)
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Ten plik zawiera numery portów dla dobrze znanych usług zdefiniowane
# w dokumencie IANA.
#
# Format:
#
# <nazwa usługi> <numer portu>/<protokól> [alias...] [#<komentarz>]
#

echo 7/tcp
echo 7/udp
discard 9/tcp sink null
discard 9/udp sink null
systat 11/tcp users #Użytkownicy aktywni
systat 11/tcp users #Użytkownicy aktywni
daytime 13/tcp
daytime 13/udp
qotd 17/tcp quote #Cytat dnia
qotd 17/udp quote #Cytat dnia
chargen 19/tcp ttytst source #Generator znaków
chargen 19/udp ttytst source #Generator znaków
ftp-data 20/tcp #FTP, dane
ftp 21/tcp #FTP. control
telnet 23/tcp
smtp 25/tcp mail #Simple Mail
Transfer Protocol
time 37/tcp timserver
time 37/udp timserver
rlp 39/udp resource #Protokół
lokalizowania zasobów
nameserver 42/tcp name #Serwer nazw hostów
nameserver 42/udp name #Serwer nazw hostów
nicname 43/tcp whois
domain 53/tcp #Serwer nazw domen
domain 53/udp #Serwer nazw domen
bootps 67/udp dhcps #Serwer protokołu
Bootstrap
bootpc 68/udp dhcpc #Klient protokołu
Bootstrap
tftp 69/udp #Trywialny transfer
plików
gopher 70/tcp
finger 79/tcp
http 80/tcp www www-http #Sieć Web
kerberos 88/tcp krb5 kerberos-sec #Kerberos
kerberos 88/udp krb5 kerberos-sec #Kerberos
hostname 101/tcp hostnames #Serwer nazw hostów NIC
iso-tsap 102/tcp #ISO-TSAP klasy 0
rtelnet 107/tcp #Usługa zdalnego
protokołu Telnet
pop2 109/tcp postoffice #Protokół urzędu
pocztowego - wersja 2
pop3 110/tcp #Protokół urzędu
pocztowego - wersja 3
sunrpc 111/tcp rpcbind portmap #Zdalne wywoływanie
procedur SUN
sunrpc 111/udp rpcbind portmap #Zdalne wywoływanie
procedur SUN
auth 113/tcp ident tap #Protokół identyfikacji
uucp-path 117/tcp
nntp 119/tcp usenet #Protokół transferu
wiadomości sieciowych
ntp 123/udp #Protokół czasu
sieciowgo
epmap 135/tcp loc-srv #Rozpoznawanie
punktów końcowych DCE
epmap 135/udp loc-srv #Rozpoznawanie
punktów końcowych DCE
netbios-ns 137/tcp nbname #Usługa nazw NETBIOS
netbios-ns 137/udp nbname #Usługa nazw NETBIOS
netbios-dgm 138/udp nbdatagram #Usługa datagramów
NETBIOS
netbios-ssn 139/tcp nbsession #Usługa sesji NETBIOS
imap 143/tcp imap4 #Protokół dostępu do
wiadomości internetowych (IMAP)
pcmail-srv 158/tcp #Serwer PCMail
snmp 161/udp #SNMP
snmptrap 162/udp snmp-trap #Pułapka SNMP
print-srv 170/tcp #PostScript sieciowy
bgp 179/tcp #Protokół bram
granicznych
irc 194/tcp #Protokół Internet
Relay Chat (IRC)
ipx 213/udp #IPX prze IP
ldap 389/tcp #Lightweight
Directory Access Protocol
https 443/tcp MCom
https 443/udp MCom
microsoft-ds 445/tcp
microsoft-ds 445/udp
kpasswd 464/tcp # Kerberos (v5)
kpasswd 464/udp # Kerberos (v5)
isakmp 500/udp ike #Internetowa wymiana
kluczy
exec 512/tcp #Zdalne wykonywanie
procesów
biff 512/udp comsat
login 513/tcp #Logowanie zdalne
who 513/udp whod
cmd 514/tcp shell
syslog 514/udp
printer 515/tcp spooler
talk 517/udp
ntalk 518/udp
efs 520/tcp #Rozszerzony serwer
nazw plików
router 520/udp route routed
timed 525/udp timeserver
tempo 526/tcp newdate
courier 530/tcp rpc
conference 531/tcp chat
netnews 532/tcp readnews
netwall 533/udp #Emisje awaryjne
uucp 540/tcp uucpd
klogin 543/tcp #Logowanie Kerberos
kshell 544/tcp krcmd #Zdalna powłoka Kerberos
new-rwho 550/udp new-who
remotefs 556/tcp rfs rfs_server
rmonitor 560/udp rmonitord
monitor 561/udp
ldaps 636/tcp sldap #LDAP przez TLS/SSL
doom 666/tcp #Doom Id Software
doom 666/udp #Doom Id Software
kerberos-adm 749/tcp #Administracja Kerberos
kerberos-adm 749/udp #Administracja Kerberos
kerberos-iv 750/udp #Kerberos wersja IV
kpop 1109/tcp #Kerberos POP
phone 1167/udp #Wywołania konferencyjne
ms-sql-s 1433/tcp #Microsoft-SQL-Server
ms-sql-s 1433/udp #Microsoft-SQL-Server
ms-sql-m 1434/tcp #Microsoft-SQL-Monitor
ms-sql-m 1434/udp
#Microsoft-SQL-Monitor
wins 1512/tcp #Microsoft Windows
Internet Name Service
wins 1512/udp #Microsoft Windows
Internet Name Service
ingreslock 1524/tcp ingres
l2tp 1701/udp #Protokół
tunelowania warstwy drugiej
pptp 1723/tcp #Protokół
tunelowania Point-to-point
radius 1812/udp #Protokół
uwierzytelniania RADIUS
radacct 1813/udp #Protokół kont RADIUS
nfsd 2049/udp nfs #Serwer NFS
knetd 2053/tcp #Protokół
demultipleksowania Kerberos
man 9535/tcp #Serwer zdalnej
dokumentacji Man


--
animka

do góry