Безопасность сайта

dam, пардон, трудоВЫЕбудни дают знать о себе ))

Цитата ("Wildcat"):

dam, пардон, трудоВЫЕбудни дают знать о себе ))

Да ничо, итс ок

Ковырнул программу. На вид - обычный кейлоггер. Прописывает себя в автозагрузку.
Все нажатия клавиш фиксирует в файле sys.dat, после чего, видимо, пытается слать на
определенный адрес. Кстати, есть интерес - могу ковырнуть глубже и точно определить айпишник.
Судя по всему, в настройки браузеров она не заглядывает. Да и насколько мне известно,
все современные браузеры хранят пароли в зашифрованном виде. Что касается веб-серверов, то
здесь немного иначе. Мне известно несколько весьма крупных и популярных ресурсов, которые
передают пароли в открытом виде, без кэширования, прямо внутри Cookie.
Но Cookie эта программа точно не ворует, да к тому же Вебланс использует шифрованное соединение, а
его просто так не взломать, если только не ломануть Windows и заменить всю цепочку сертификатов.
Так что троян сделал свое черное дело в тот момент, когда пароль вводился вручную, с клавиатуры.
Скорее всего. От души желаю MMM_Corp больше не попадать в такие неприятные истории.
Ну и о защите не стоит забывать. Хорошо настроенная проактивка всегда предупреждает, когда
новая программа лезет в сеть или еще куда-то, куда ей не разрешали. Вот-с.

okman, дело в том что на почту в браузере я пароль точно не вводил, не делал этого уже год или даже больше, возможно получает както из TheBat, или из QIP, в браузере пароль сохранен и используется там очень давно. Тоесть сначала слетели пароли с квипа, скайпа и пр. которые сохранены в этих программах, а только потом я уже пытался их вводить.
Про куки и т.д. вичитал в описании каспера, сам особо не ковирял трояна. Самое интересное что защита стояла, аваст и аутпост, ручной контроль всего. До сих пор не могу понять откуда он взялся и как данные ушли что защита даже не пикнула. На данный момент все переустановил, пароли почти все востановил кроме аси. Кстати мейл.ру пароль опять не принимает, видимо либо квип дуркует либо злоумишленник также как и я востановил доступ... ладно плевать на тот мейл.ру, уже не важен мне этот ящик, пусть гниет)
Меня гораздо больше поразило, что этот урод ворует аки веблансера, тоесть он среди нас вероятней всего, вот что напрягает.
Я думаю что здесь все гораздо сложнее чем просто кейлогер, это может бить только часть вируса, напр. заражается бекдором, скачивается бомба для уничтожения защиты, отрабатывает, удаляется, ставится еще какойто зверь ну и на затравку логер, черт его знает, это только домислы. В любом случаи это все что я смог обнаружить. И он не мог би стать причиной кражи пароля, должно было быть чтото еще что спортило работающей пароль в квипе и браузере.
Еще вичитал что есть вирусы которые подменяют либу фаерфокса для sqllite, и таким образом берут отуда пароли, ну чтож поделать, потерял деньги, нервы, время(

MMM_Corp, бывает. Бывает, что самую лучшую защиту ломают, никто от этого не застрахован.
Не переживай, главное что честь и репутация не пострадала, а деньги - дело наживное.

Именно в том exe-шнике бомбы нету - это кейлоггер, больше туда злоумышленник ничего запихивать не стал.
Все клавиатурные события он скидывает в файл, а когда размер файла превышает 6000 байт, шлет его на
почтовый сервер mail.ru и начинает новый. E-mail этого умельца мне уже известен (отправил приватным сообщением).
Жаль, что морду ему набить нельзя.

Цитата ("frig"):

Я думаю привязываться надо не к сроку, а к количеству авторизаций. Хранить последние 10, например. А были они месяц назад или пол года назад - не ограничивать.

Да, здравая мысль, я думаю так будет лучше всего.

Цитата ("Weblancer"):

Буквально сегодня обсуждали этот вопрос. Пока нас волнует объем этих логов. Несложно предположить, что расти они будут стремительно.
В связи с этим планируем сделать ротацию логов, а пользователям показывать логи за определенный период.

Вопрос: Какой период будет достаточным?

последние 20 можно, без привязки к срока.