Украли пароль

[djon70]

Неделю назад, решил зайти в Интернет, подключаюсь, а мне сообщение, что это имя и пароль недоступны в этом домене. Звоню провайдеру(РОЛ), какой то бес, сонным голосом отвечает, что я, что-то неправильно делаю. Я сижу бьюсь с подключением ещё полчаса, переустанавливаю подключение, короче ни в какую не пашет. Звоню туда опять, этот бесёныш из РОЛа удосужился наконец-то посмотреть моё направление и говорит, что по моим данным Интернет подключен. Отключает мне интернет, ставит фильтры, и говорит, чтобы через 3 часа я ждал от них письмо, через 3 часа я подключаюсь, запускаю ОЕ, и получаю от них письмо месячной давности. Опять звоню туда, объясняю в чём дело, и мне приходит письмо в котором меня извещают, что у меня украден пароль и пока я им не пришлю отчёт о защите своего компа, мне интернет не подключат. И дают ссылки на программы, которые рекомендуют мне установить, то что у меня заблокирован интернет, это их, как я понял, не волнует. Ну составил я им отчёт, отослал, тишина. И так четыре дня, я им шлю письма, никакого ответа. В конце концов выясняется, что письма мои они получают, только они должны быть отправлены с ящика РОЛ( сразу нельзя было сказать?), сделал я учётную запись новую, отослал опять отчёты. Короче довели они меня до белого каления, то им это не так, то то не так. Ниже привожу письмо, всё что курсивом их перлы, остальное моё, это одно из последних писем.

Рассудите, конечно я маленько погорячился, но они меня просто уже достали. Да вот ещё, что; они преждложили установить мне AVP и Dr.Web и включить мониторинги. Разве можно так делать?

( У меня стоит Dr.Web v.4.31b с обновлениями от 9.04.2004 ). Если вам ещё

неизвестно, то знайте, что два АНТИВИРУСА нельзя устанавливать на

компьютер,

это чревато последствиями, приводит к краху системы.

Ваша осведомлённость касательно одновременной установки 2-х антивирусных

программ искренне радует, тем не менее, при установленных одновременно DrWeb

и AVP подобные проблемы не наблюдаются.

А вы пробовали?

( У меня нет дополнительного доступа в Интернет)

(Заплатку установил, ОГРОМНОЕ спасибо за ссылку при заблокированном

доступе

в Интернет)

Уточните, каким образом Вы установили заплатку(непонятно, почему в

единственном числе?), если доступ в сеть, как Вы совершенно справедливо

заметили, ограничен?

Очень просто: WindowsXP-KB823980-x86-RUS - Эта заплатка была скачана мной до блокировки Интернета.

С помощью программы Anti-Trojan Shield я нашёл троян "I-Worm.Mimail.c",

который Dr.Web не видит. У меня есть подозрения, что с

помощью

его у меня был украден пароль,

Данный вирус является не трояном, а вирусом-червём. Т.е. сам по себе

паролей он не ворует.

Для справки:

Опасность! Сетевой червь Blaster (MSBLAST.EXE)

Признаки заражения

Наличие файла msblast.exe в каталоге %WinDir%system32.

Сообщение об ошибке (RPC service failing) приводящее к перезагрузке системы.

Наличие записи в системном реестре

Новый интернет-червь использует уязвимость в службе Microsoft Windows DCOM RPC. Данная уязвимость позволяет злоумышленнику подключиться к уязвимому компьютеру, выполнять команды и запускать приложения от имени системы (пользователь LocalSystem).

При запуске, червь просматривает случайный диапазон IP адресов, для поиска уязвимых компьютеров (TCP порт 135). К найденным компьютерам, червь пытается применить уязвимость в службе Microsoft Windows DCOM RPC для удаленного соединения и передачи уязвимому компьютеру TFTP команды на загрузку основного тела червя.

После успешной загрузки основного тела червя, оно копируется в каталог %WinDir%system32 и запускается на выполнение.

Создает в системном реестре ключ:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

"windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill

Куда он устанавливается

При запуске, создается файл msblast.exe в каталоге %WinDir%system32 и вышеуказанная запись в системном реестре.

Удаление вируса

вы можете удалить вирус вручную, удалив файл msblast.exe из каталога %WinDir%system32, и удалив ключ системного реестра

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

"windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill.

так же для поиска и удаления вируса есть программа выпущенная производителям нортон антивируса, называется fixblast

Наша с ним переписка:

Я "С помощью программы Anti-Trojan Shield я нашёл троян "I-Worm.Mimail.c", который Dr.Web не видит. У меня есть подозрения, что с помощью его у меня был украден пароль,"

Он "Данный вирус является не трояном, а вирусом-червём. Т.е. сам по себе

паролей он не ворует."

Так, вот, я прекрасно знаю, что такое BlasterWorm, и что нашёл я его совсем в другом месте, которое указанное выше, и имя у него необязательно может быть таким, а например keeds.exe

И для обнаружения этого вируса есть специальные программы, например такие как: FixBlast и clrav (рекомендую) , так вот ими не было не обнаружено ничего.

Worm.Shorm. Сетевой червь, заражающий компьютеры под управлением Windows. Распространяется по локальным и глобальным сетям. Выбирает компьютер-жертву, и если диск на компьютере открыт на полный доступ, создает свою копию в каталоге автозапуска Windows. Также ворует пароли доступа в сеть и Интернет. Считывает RAS-информацию (имя пользователя, номера телефонов, пароли), кэшированные пароли доступа и отправляет их на два адреса: krenx@mail.ru и winam@mail.ru . Последнее говорит о явном российском происхождении вируса.

При запуске на компьютере червь копирует себя в системный каталог Windows с тремя именами: MSTASK.EXE, MSGSRV16.EXE, TAPI32.EXE. Затем эти файлы регистрируются в ключах автозапуска системного реестра. Таким образом, червь запускается при каждом рестарте Windows. Затем червь обращается к Web-странице по адресу http://krenx.newmail.ru/ip.txt и считывает ее содержимое. Данная страница содержит IP-маски подсетей, которые атакуются червем. Червь затем выбирает случайную маску подсети, перебирает все возможные IP-адреса этой подсети и пытается установить соединение. Если соединение произошло удачно (т.е. существует компьютер с данным IP-адресом), червь пытается получить доступ к его диску. Если диск открыт на полный доступ (чтение/запись), то червь определяет имя каталога Windows и копирует себя туда с именами:

Start Menu\Programs\StartUp\ AVPMonitor.exe

Главное меню\Программы\Автозагрузка\AVPMonitor.exe

Таким образом, зараженными могут оказаться компьютеры под управлением английской и русской версий Windows. Поскольку червь копирует себя в каталог авто-запуска Windows, то он будет автоматически исполнен при очередной перезагрузке Windows. Червь может обновлять себя с Web-сайта. Для этого он обращается к Internet-файлу http://krenx.newmail.ru/win.exe , скачивает его и запускает на локальной машине.

3. Антивирус "Stop!" Версия 3.00 build 450 ( http://www.dizet.com.ua/stop.html ). 941 Kb

Stop! обнаруживает компьютерные вирусы в памяти и на дисках компьютера.

Программа обнаруживает и удаляет наиболее опасные: троянские программы (Trojan), программы удаленного администрирования (Backdoor), троянские программы, предназначенные для воровства паролей (Trojan.PSW), интернет-черви (I-Worm), IRC- и mIRC-черви (IRC-Worm, mIRC-worm), VBS вирусы, Win32 вирусы, макро-вирусы, BAT/CMD вирусы и троянские "вставки" в BAT файлы. В программе реализованы алгоритмы эвристического анализа и алгоритмы поиска новых вирусов, позволяющие обнаруживать как множество примитивных старых DOS-вирусов, так и вирусов нового поколения, ориентированных на 32-разрядные платформы.

- Обнаружение более 5000 вирусов;

- Моментальный поиск активной троянской программы и ее удаление;

- Удаление активных троянских программ с диска, даже если файл заблокирован троянской программой;

- Ежедневное обновление антивирусных баз через Интернет;

а также есть подозрения на ваших сотрудников, которые либо сами использовали его(пароль), либо передали кому-нибудь.

Без комментариев.

Без комментариев

Прошу сообщить мне IP-адрес откуда велась попытка проникновения в интернет по моему паролю,

Непонятно, что Вам даст информация об ip-адресе, который выделяется

динамически?

А это уже не ваше дело!

если вы отказываетесь это сделать, сообщите мне адрес Органов

служб по надзору за попытками взлома и воровства ресурсов, для того чтобы я мог подать заявление для разбирательства этого дела.

Вы можете подать заявление в ОВД по месту жительства.

Спасибо обязательно подам и ещё в Общество по Защите прав потребителя.

Так как вами никаких мер не принято, то это наталкивает на мысль, что это

деяние было произведено вашими сотрудниками.

Меры были приняты - заблокирован доступ к счёту, который мог

использоваться злоумышленником для кражи паролей других пользователей сети.

В комментариях ваших бездоказательных обвинений, очевидно, нет смысла.

Время и следствие покажет, есть смысл или нет.

И попрошу побыстрее мне снять фильтры с Интернета, сутки на исходе, и мне не доставляет удовольствие вести с вами бессмысленную переписку. Я по моему в своём отчёте написал, что

Вы должны написать, что вы ознакомленны и согласны с тем что ООО

"ТелеРосс" прекратит доступ к услуге без предупреждения если утечка пароля произойдет вторично.

Я ОЗНАКОМЛЕН И СОГЛАСЕН.

Мои данные: ................................................

Номер персонального счёта:....................................

Ключевое слово: .........................................................

[aTeos]

Я тебя полностью поддерживаю, но хочу сказать, что при краже пароля (если он для тебя представляет большую ценность), надо СРАЗУ подавать заявление в это ОВД... знаю по собственному опыту. Пусть они там и разбираются, а ты нервы не порть. С админами обычно без толку разговаривать. Правда не всегда, но...

[dartman]

Прошу сообщить мне IP-адрес откуда велась попытка проникновения в интернет по моему паролю, Непонятно, что Вам даст информация об ip-адресе, который выделяется динамически?

Тебе этот IP не даст ничего. А вот ОНИ могут в статистике посмотреть, с какого ТЕЛЕФОНА было подключение под этим логином. Если конечно они не совсем криворукие, и у них такая статистика ведётся. Ну а при наличии телефона узнать адрес и отбить руки - уже дело техники.

[djon70]

aTeos

если он для тебя представляет большую ценность

У меня на этой карточке оставалось ещё около 15 часов посещений Интернета.dartman

А вот ОНИ могут в статистике посмотреть, с какого ТЕЛЕФОНА было подключение под этим логином.

Вот про это я им и говорил, а они ни в какую, говорят что не дают таких сведений.

[aTeos]

djon70

А вот ОНИ могут в статистике посмотреть, с какого ТЕЛЕФОНА было подключение под этим логином.

Вот про это я им и говорил, а они ни в какую, говорят что не дают таких сведений

И правильно не дают. Это уже дело милиции разбираться. Я точно знаю :)

[dartman]

Бред сивой кобылы.

Любой уважающий себя провайдер интернета имеет СЕРВЕР СТАТИСТИКИ, на доступ к которому нужен ДРУГОЙ ПАРОЛЬ. На сервере статистики можно посмотреть состояние счёта, оплатить услуги различными способами, сменить пароль на доступ, а также посмотреть СТАТИСТИКУ СОЕДИНЕНИЙ по своему логину.

Если провайдер не имеет такой услуги, то это - ХРЕНОВЫЙ ПРОВАЙДЕР. И это не ИМХО, это так и есть. У нас в городе не так уж и много провайдеров, штук пять всего. Но у всех есть сервер статистики. Не верю я, что знаменитый РОЛ не предоставляет таких услуг. Связывайтесь не с секретутками, а с людьми, которые имеют власть.

[replenish]

Прошу сообщить мне IP-адрес откуда велась попытка проникновения в интернет по моему паролю, Непонятно, что Вам даст информация об ip-адресе, который выделяется динамически?

Тебе этот IP не даст ничего.

Не думаю. Все-таки маска адресов, выделяемая для каждого пользователя ограничена по размеру. Что-то наверное по ней можно вычислить.

А вообще, когда я заподозрил, что у меня на РОЛ украли пароль - все-таки я имел два перерасхода, а мне это не свойственно - то просто отключил флажок запоминания пароля. Я запомнил его наизусть и вбиваю руками.

[djon70]

dartman

Связывайтесь не с секретутками, а с людьми, которые имеют власть.

А где найти этих людей? Когда туда звонишь, с тобой через губу разговаривают, типа все ламеры одни они умные, а когда я спросил где их фирма находится, чтобы туда приехать, мне ответили, что их офис в Москве, приезжайте жаловаться туда. НУ не уроды?

[Swen47]

А мне один раз они предложили снизить скорость до 12!!!

Я этому челу говорю: ты совсем что-ли му..к?

Что я на ней буду делать-то?

А он говорит: вполне нормальная скорость!

При моеё обычной 52!

[djon70]

Swen47

Мне тоже такое говорят, когда я подключится не могу, а показывает , что не мог связаться с удалённым модемом ну или что то типа того. Я им начинаю объяснять, бесполезно, это типа у вас неполадки, разбирайтесь со своим компутером. Короче одним словом

совсем что-ли му..ки

Изменено 1 мая, 2004 пользователем djon70

[BobbMB]

%$^#^% Я и не представлял, что такие %$# бывают, РОЛ - САКС

[Гость]

dartman

Тебе этот IP не даст ничего. А вот ОНИ могут в статистике посмотреть, с какого ТЕЛЕФОНА было подключение под этим логином. Если конечно они не совсем криворукие, и у них такая статистика ведётся. Ну а при наличии телефона узнать адрес и отбить руки - уже дело техники.

Да, они эту статистику ведут, сам знаю... И могут просечь с какого телефона юзали твой нет!

djon70

Вот про это я им и говорил, а они ни в какую, говорят что не дают таких сведений.

Тебе и не дадут! Это как врачебная тайна... Это как... Это как логи всем желающим на показ! <_< Они так не делают, это и правильно... <_<

Делай так. Сначала спроси у demer не он ли скоммуниздил (шутка :))... Теперь бери ноги в руки и топай в ОВД, пиши заявление и тряси их по полной... если там связи - то ещё лучше... Они прямиком в офис РОЛа и, поверь, вытрясут из бедного админа всё, вплоть до полной биографии злоумышленника... =) так вот, админ ОБЯЗАН, именно ОБЯЗАН, дать органам номер, с которого юзали нет, ну а дальше дело за малым... :(

Это также как с анонимными проксями... Если соответствующие органы пошлют завпрос админу прокси на просмотр логов, чтобы тот сказал с какого ip определённые люди юзали проксю, то хочет он или нет, ему придётся это сделать... :(

[dartman]

Тебе и не дадут! Это как врачебная тайна... Это как... Это как логи всем желающим на показ! Они так не делают, это и правильно...

Как это не дадут? Я же смотрю свою статистику! По телефону могут и не дать, но на сайте (если такой есть) или лично в офисе дадут обязательно.

[djon70]

Vip-vano

Да теперь уже сколько времени прошло, в следующий раз своруют обязательно пойду к ментам жалится

:( :( ;) :(

[Gabriel]

Извиняюсь, но... Ведь у РОЛа есть центр статистики. Причем для личного кабинета ведь можно создать бесплатное подключение по которому и залесть туда. ;) Так что проверить и без них можно.