Странная фишинговая атака?

1202
Magnetic_dud

Когда я захожу в wachovia / wells fargo / amazon / paypal, независимо от того, какой пользователь / пароль я вставляю, я получаю страницу «нам нужно проверить вашу информацию», где меня спрашивают обо всем - от банкомата до моего ssn и до моего девичья фамилия мамы (LOL)

Затем, когда я вставляю фиктивные данные, они продолжают запрашивать все больше и больше личных данных, таких как номера часто летающих пассажиров, проверенные паролем на получение визы и т. Д., Пока я не доберусь до страницы с подтвержденной визой (с правильным SSL на visa.com !!!) на сумму, скрытую белым див.

Больше данных:

  1. Адрес правильный (не www.amazon.com.frtrereeliamdumb.com, а amazon.com С ПРАВИЛЬНЫМ SSL)
  2. Файл hosts не изменяется
  3. днс надежный, 8.8.8.8
  4. amazon.com решает правильно
  5. ССЛ действителен
  6. нюхающий трафик не показывает ничего подозрительного
  7. у меня есть проводной интернет
  8. Никакого странного процесса не работает
  9. Опера не затронута, Firefox и т. Д. Затронуты (так что это не мошенническое расширение FF)
  10. Я забочусь о безопасности, и я запускаю все в песочнице, у меня нет Java, есть AV (так, как я мог получить этот вирус ???)
  11. программы администратора, такие как regedit и taskmgr, работают и не блокируются этим вирусом

Что может быть ???

4
Поднимите трубку и позвоните Уэллсу Фарго, я бы посоветовал вам попросить их сменить пароль, пока не разберетесь с этим. Moab 13 лет назад 0
Хорошо, посмотрите на страницу, которую я получаю по этому адресу: https://www.paypal.com/it/cgi-bin/webscr?cmd=_login-submit => http://pastie.org/1609236 www.paypal .com разрешается в 64.4.241.49 - верно. Похожая страница появляется на amazon.com и wachovia.com Magnetic_dud 13 лет назад 0
И еще один пример, по этому адресу: https://www.amazon.com/gp/flex/sign-in/select.html/ref=ya_sign_in_ я получаю это: http://pastie.org/1609260, вместо https: //onlineservices.wachovia.com/auth/AuthService Я получаю это: http://pastie.org/1609262 .. я должен понимать, что происходит, чтобы этого не произошло в будущем (да, я уже сменил пароли с чистого компьютера) Magnetic_dud 13 лет назад 0

4 ответа на вопрос

3
Joshua

У вас, сэр, на вашем клиентском компьютере установлено вредоносное ПО. Это программное обеспечение, вероятно, «слушает» общие процессы браузера (т.е. IE и FF) и перехватывает HTTP-трафик, добавляя к нему «frtree ... com».

Трудно сказать точно, что это такое и как оно туда попало, но ясно одно: вам нужно найти антивирусный сканер, который его удалит, или свернуть вашу ОС.

Редактировать: по моему опыту, требуется гораздо меньше времени (и меньше стресса от того, чтобы быть абсолютно уверенным, что вы удалили его), чтобы подключить операционную систему, чем для отслеживания ошибки и ее уничтожения.

нет, это не так, http сниффер показывает, что все указывает на правильное доменное имя Magnetic_dud 13 лет назад 0
Я вытер жесткий диск (в марте 2011 года!) И исправил проблему, так что, да, я был заражен. Я не мог в это поверить. :) Magnetic_dud 11 лет назад 0
2
Jeff Bolduan

Возможно ли, что ваш роутер был скомпрометирован вирусом и перенаправляет трафик?

Маршрутизатор - Thomson TG585, который дал мне провайдер. Имеет ошибку, из-за которой люди могут угадать пароль wpa2, зная MAC-адрес, поэтому wlan отключен. Но, с других компьютеров на той же локальной сети, я не получаю этот странный результат ... Magnetic_dud 13 лет назад 1
If that's the case then I would probably cut my loses and either try a different AV and if that fails then format. If the virus can hide itself that well it's not worth taking a chance. I would also make sure to wipe out the boot sector of the drive which is often overlooked. Jeff Bolduan 13 лет назад 0
Я пробовал nod32 но безуспешно Magnetic_dud 13 лет назад 0
Вам также следует использовать неинфицированный компьютер, чтобы немедленно изменить все пароли учетной записи вашего веб-сайта, особенно банковские / финансовые. BBlake 13 лет назад 0
0
Moab

Вы можете быть заражены

Следуйте приведенному ниже порядку для дезинфекции вашего компьютера

1.) На незараженном ПК создайте загрузочный AV-диск, затем загрузитесь с диска на зараженном ПК и просканируйте жесткий диск, удалите все найденные инфекции, я предпочитаю сам диск Касперского. Новый диск Kaspersky 2010 может обновлять файлы AV dat, если вы подключены к Интернету во время сканирования, и предлагается обновить его до сканирования.

http://www.techmixer.com/free-bootable-antivirus-rescue-cds-download-list/

2.) Затем: установите бесплатный MBAM, запустите программу и перейдите на вкладку «Обновление» и обновите ее, затем перейдите на вкладку «Сканер» и выполните быстрое сканирование, выберите и удалите все, что найдете.

http://download.cnet.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html

3.) После завершения MBAM установите бесплатную версию SAS, запустите быстрое сканирование, удалите то, что оно автоматически выбирает. http://www.superantispyware.com/download.html

Эти последние 2 не являются AV-программами, такими как Norton, они являются сканерами по требованию, которые сканируют только на наличие неприятностей, когда вы запускаете программу, и не мешают работе вашего установленного AV, их можно запускать один раз в день или неделю, чтобы убедиться, что вы не заражены. Обязательно обновляйте их перед каждым ежедневным сканированием.

0
ChrisF

Дважды проверьте настройки вашей сети. Может случиться так, что у вас есть вредоносная программа, указывающая на плохой сервер доменных имен. Это означает, что похоже, что вы достигаете правильных веб-адресов, даже если вы явно этого не делаете.

Другой способ проверить это - попытаться получить доступ к известным антивирусным сайтам, таким как Malwarebtyes . Они часто блокируются.

Откройте диалоговое окно «Свойства подключения по локальной сети» и выберите вкладку «Общие». Затем выберите строку «Протокол Интернета (TCP / IP)» и выберите «Свойства»

В новом диалоговом окне на вкладке «Общие» проверьте, установлен ли параметр «DNS-сервер» на «Пользователь следующий адрес DNS-сервера». Если есть запишите IP-адреса.

Затем перейдите к своему интернет-провайдеру и посмотрите, рекомендуют ли они вам установить эти значения. Если они не сброшены, переключитесь на «Получить адрес DNS-сервера автоматически». Если это так, убедитесь, что IP-адреса совпадают.

Вам все равно нужно будет выполнить шаги по очистке вашей машины, поскольку нет гарантии, что не будет запущенного процесса, который сохраняет этот параметр, указывающий на плохие серверы.

сайт не заблокирован - загружено и установлено вредоносное ПО байтами - сейчас сканирование. Magnetic_dud 13 лет назад 0

Похожие вопросы