Soft Украли мои пароли, не могу найти троян

Пришло сообщение в почту, что некто пытался войти в мой гугл-аккаунт и остановило его только то, что он не имел доступа к моему телефону, куда должен придти доп. пароль для входа. То есть сам пароль к моей почте ему точно был известен. Зашёл этот придурок с Ipad'а из Израиля.

Видимо, всему виной вот этот сайт:
Casual Free Games. Скачать игру бесплатно. Free Download Game

Я, блин, хотела доброе дело сделать - скачать игр для мамы. Она любит именно такие, и ей надо на русском, в отличие от меня. А там все игры, когда скачаешь, не запускаются. Я так и подумала, что это трояны какие-нибудь, но уже поздно было - парочку уже пыталась запустить... И несколько дней всё было тихо, вот только это сообщение на почту от гугла дало мне знать, что пароль мой кому-то прекрасно известен к этому самому гуглу.

АВГ пока ничего не нашёл, но я точно знаю, что нечто есть. Очень боюсь потерять доступ к важным для меня сайтам, мало ли как думает этот дебил и что ему в голову придёт. Что ещё он мог покрасть, если знает пароли, хранящиеся в браузере. Пароль к инету?

Подскажите, какие ещё проги заюзать, чтобы эту тварь обнаружить и выкинуть. Или, может, кто-нибудь добрый скачает игру с сайта и сумеет выяснить, что там за тварь в них всех сидит и где её искать? Только не пытайтесь запускать у себя эти игры. Я практически не сомневаюсь, что дело в этом сайте, больше троян подцепить было негде.

Пока что скачаю еще несколько прог для обнаружения, посмотрим, может, они обнаружат.

 

Уважаемый, вам не сюда.
Меняйте все пароли на сайтах, которые вам важны и используйте 1password для хранения и генерации паролей.

 

@tuliss, прежде чем менять, надо или комп почистить или с другого компа все это делать.

@Elel, утилитка Cure it! лишней не будет.

 

Свят, свят! Ночь уже. Персонаж давно у нас не появлялся. Судя по профилю в VK ему некогда. Занят тем, что точить тризуб шоб москалей штрикати та вбивати злочинних ахрессорiв. Прям на своем диване. Если вдруг кому показалось, что я тут распространяю личную информацию, то ему показалось. Профиль очень просто ищется в google по запросу netsky2004 и это первая же ссылка. Профиль открыт самим потерпевшим.

@Elel, теперь серьезно. Заранее прошу прощения за телегообразную простыню, что ниже. Надеюсь, это будет полезно не только тебе. Дело в том, что кража паролей не всегда связана с троянами. Есть масса других способов эти самые пароли увести. Так что прошу прочитать мое сообщение внимательно и постараться понять и простить.

Двухфакторная аутентификация это хорошо, но подходит только не-параноикам. Кому-то кажется, что он тем самым сообщает свой номер телефона корпорации Google CIA, но это конечно же не так и это действительно так, но привязка телефона к аккаунту действительно неплохой способ защитить свои данные. В этом случае нам приходится доверять Google и не доверять всем остальным. Надеюсь, общий принцип понятен. Тот же VK, например, если видит, что вы заходите на него не из того места, из которого обычно, может все сделать за вас сам и "включить дурака", сделав вид, что вас не узнает. Он потребует дополнительной аутентификации и таким образом защитит от взлома.

Едем, как говорится, дальше. То, что в твоем письме о постороннем входе указан израильский ipad, на самом деле ничего не значит. Дело в том, что каждый браузер при отправке запроса в сеть должен (но никому не обязан) указывать так называемый User-Agent. Это строка, в которой содержится информация об устройстве и клиенте (ОС, наименование, версия, язык), в данном случае браузере. Но эти данные не обязательно могут быть подлинными, их можно подделать. Например таким образом некоторые сайты настроены так, что для настольных компьютеров показывают полноценную страницу, а для мобильных устройств облегченную. Чуть сложнее со страной происхождения. Как известно, у каждого устройства в сети есть IP-адрес, который более-менее точно можно привязать к геолокации. Иногда он выделенный для конкретного устройства, иногда он один для нескольких устройств. В рамках моего поста это не так уж важно. Важно то, что есть в интернете шлюзы, которые могут принять чужой запрос и передать его куда угодно от своего имени. Таким образом мы можем настроить свои запросы так, что они будут передаваться устройству в Израиле, которое наши запросы будет транслировать от своего имени и передавать ответы нам. Такой промежуточный шлюз называется Proxy. Иногда из них можно сделать цепочку:

Мы<=>Proxy1<=>Proxy2<=>....<=>Proxy(n)<=>Ресурс(в твоем случае Google). Таким образом получается, что можно подделать устройство и адрес.

Едем еще дальше. Сайт, который ты указала, действительно производит впечатление "левого". Поисковые запросы по его имени ведут на сам сайт и несколько сообщений в сети рекламного характера. Я бы такому не доверял. Если сайт требует регистрации для скачивания, значит он скорее всего поддельный. На нормальных сайтах при регистрации сайт запоминает ваше имя и некий "отпечаток" вашего пароля, который генерируется на его основе. Проще говоря, есть технология, которая позволяет получить некий набор символов, в которые преобразется ваш пароль, но обратное преобразование не работает, либо трудно выполнимо. "Плохие" сайты такой ерундой не занимаются. Они просто записывают к себе в базу данных введенный пароль и дальше могут начать делать с ним разные нехорошие вещи. Если введенный при регистрации пароль совпадает с паролем от введенной почты, то , как говорится "здравствуйте, я ваша тетя!".
Но вполне вероятно, что и подозрительный сайт здесь ни при чем. Предположим, что вам на почту пришло письмо доверительного содержания со ссылкой на Google диск. Вы переходите по ссылке из письма и попадаете на страницу авторизации. "Опять разлогинило" в сердцах думаете вы. Но на самом деле нет. Если приглядеться к ссылке (пример с потолка) https://drive.googjle.com/open?id=0Bz9s9X_8ilSlTk1wQk8wUlNFZVk, то можно заметить, что она отличается от "каноничной". То есть, является поддельной. И вы своими собственными руками вводите данные своего Google-аккаунта на совершенно "левой" странице.

Чувствую, пора закругляться. На само деле все немножко сложнее, возможностей украсть ваше "Я" в сети гораздо больше и находиться здесь довольно опасно. Я лишь хотел показать, что "угон" пароля это не всегда действие трояна. Поэтому его иногда бесполезно искать. А хороший троян, получив нужную информацию, может и самоуничтожиться.

Такие дела. А еще антивирусы это не панацея. Кражу пароля можно организовать при помощи легального софта типа WebBrowserPassView, обычного архиватора и утилиты cURL. Антивирусом, конечно же, проверьтесь, хуже не будет. Попробуйте Kaspersky Rescue Disk или KVRT. Но поимка им троянов или их отсутствие по результатам сканирования - явления равнозначные.

 

Играем в КЭПА ?

 

Прощать не придётся, ваша "простыня" весьма полезна. И да, я в курсе, что есть другие способы угона, просто я сразу подумала на троян из-за того стремачного сайта. Я вообще сразу решила, что эти игры левые, но решила ничего не делать, а просто подождать - у меня стоит неплохой файрволл, так что какой-нибудь левый троян там можно было увидеть. Там почти всё заблочено, доступ только некоторым прогам в сеть, и при попытки туда полезть несанкционированно мне вылезло бы оповещение. Так что по идее пролезть в сеть могут только такие трояны, которые прикидываются несколькими процессами, которым туда лезть разрешено. Или если это процессы, которые способны в сеть "на чужом горбу" пролезть, как, например, какие-нибудь расширения в браузере.

У меня в общем-то есть образование в IT, так что я не совсем чайник. Но и не профи далеко, образование было получено давно, и я по нему никогда не работала, другим занималась. В данном случае моих и без того давно устаревших знаний не хватает. Файрволл не показывает никаких запрещенных лезущих в сеть процессов, антивири ничего не находят. Тупостью я особо не страдаю и не открываю стремные ссылки, неизвестно кем присланные на почту. Другое дело, что на такие ссылки можно и в интернете напороться, вот это да, это вполне возможно.

Неужели по одной только левой ссылке реально можно потерять все пароли, которые в браузере хранятся? Прямо список логинов с паролями может куда-то сходу отправиться?

Мне просто всегда казалось, что достать пароли из браузера не настолько просто и по открытию левой ссылки этого не провернуть. А для более тонких махинаций уже понадобился бы троян. Но, может, технологии ушли далеко вперед и такое и впрямь возможно теперь.

Я вообще-то думала, что пароли достают чаще всего из файла подкачки. У меня даже опция стоит очищать этот файл при перезагрузке винды или при выключении компа. Но тут моих знаний мало, я же не хакер. Да и получены они были давным-давно, как пароли воруют сейчас я представляю слабо.

Да это понятно... Но надо как-то убедиться, что после смены паролей у меня их сразу же не умыкнут заново. То есть что нет какой-то дыры, которой я не вижу. К тому же, я не знаю, какие пароли были украдены. Только предполагаю, что все браузерные. Как минимум.

Расстраивает это всё. Сайты-то ладно, даже если потерять пароли - пережить можно, но у меня тут такая инфа хранится на компе. Я её, может, даже личному психотерапевту не показываю. Очень не хочется думать, что кто-то её мог видеть.

 

А почта от какого сервиса?
Включите и для почты авторизацию через телефон.

Но только делать это надо с чистой системы:
- самое простое это скачать образ с чистой ОС, загрузиться с него, и уже без опаски выходить в интеренет.

Например, Slax или Ubuntu - правда незнакомый линукс, но зато безопасней, имхо.

А какие игры качать? Могу посмотреть.

Если кто-то шурудит - это было бы видно по исходящему трафику.
Особенно если исходящий интернет медленный (например, мобильный модем), то злоумышленнику 100 лет придётся качать личное фото.
Так что не паникуйте.

 

Как раз на почте она включена, отсюда я и знаю про утерянный пароль. В хроме произошла рассинхронизация + письмо от гугла, что некто пытался войти в мою почту с другого устройства, правильно набрав пароль (к тому же, в то время, когда я спала). Но не смог, т.к. на другом устройстве нужно вводить телефонный код.

Вот одна их тех, какие я точно пыталась у себя запускать:
Большие Скачки / Horse Race » Casual Free Games. Скачать игру бесплатно. Free Download Game

Остальные не припомню. Игры я ещё тогда все удалила с компа, решив, что с ними что-то не так.

 

Установил. На исполняемый файл игры антивирусы не реагируют:

Lur2.exe
VirusTotal

 

Спасибо.

Что ж, может, всё-таки это и нормальный сайт и я зря на них гоню. У меня эти игры вообще не устанавливались и не запускались, то есть сами файлы установки не запускались, поэтому я и посчитала их подозрительными. Как знаете, когда некое приложение вообще не запускается по причине того, что разрядность не подходит? Примерно так, только причина была не в разрядности, а не пойми в чём, какое-то бессодержательное сообщение вылезало.

 

У меня давно была идея создавать объемные архивы под паролем, чтобы нельзя было увести

 

Да прям троян, мне такие письма пачками приходят - о стиме, гилд варс 2, все ммо где я зареган, гугл аккаунты и т.д.
Вебмани/киви молчат.
Подтверждение через телефон и пусть сосут ноги.

 

Ещё такое письмо может приходить при заходе с т.н. «необычного места» (например, через Tor, через мобильную сеть, через чёрта лысого, что там гугл возомнит).

 

100% гарантии вам все равно не кто не даст.
Хотите быть уверенным, копируйте отдельные данные. Переустанавливайте систему, устанавливайте нормальный антивирус, проверяйте данные, меняйте пароль. Да сразу через 1password. Да платный. Но они по крайне не были еще взломаны.

 

Хватит рекламы

Собиралка паролей никак не защитит от кейлоггера, например.

 

Да вы что ? Правда ? Мужики то не знают.
Вообще уже есть методы защиты от кейлогеров (кроме аппаратных)

самый популярный вопрос
How does 1Password protect me from keyloggers?

ответ дан тут

About the 1Password security model - 1Password Support

Продукта лучше, пока увы нет. Все остальные так или иначе себе скомпрометировали.
Включая популярный keepass. Да и не удобный он.

 

Ахахахаха, так он, оказывается, еще и скакуас. Судя по уровню компьютерной грамотности, ничего удивительного.

 

Ну вот, и сюда политоту притащили.