Podczas logowania do systemu mbanku, oraz systemów PKO i Inteligo pojawią się wciąż komunikat "podaj 5 jednorazowych haseł. Jak wcześniej opisywaliśmy sytuację, w poprzednim artykule na ten temat na forum egrudziadz.pl żaden antywirus nie wykrywa ani nie pomaga w usunięciu tego problemu, którym jak wiadomo jest wyłudzeni przez osoby trzecie haseł logowania i haseł operacji dokonywanych za pośrednictwem internetu na stronach:
- mBank https://www.mbank.com.pl,
- Intelligo https://secure.inteligo.com.pl,
- PKO Bank Polski https://www.ipko.pl.
Nasza redakcja postanowiła pociągnąć wątek dalej w celu weryfikacji ustaleń. Rozpoczęlismy wątek na forum mBanku http://www.mbank.pl/forum/read.html?f=1&i=843812&t=843732, gdzie w trakcie dyskusji dowiedzieliśmy się iż podobne sytuacje zdarzają się nie tylko w mBanku, ale również w innych instytucjach.
Poprosiliśmy drogą emailową o pomoc banku w celu izolacji lub likwidacji zagrożenia. Początkowe wytyczne uzyskane drogą czatu niestety nie pomogły w rozwiązaniu sytuacji. Wskazany program antywirusowy nie pomógł oraz czynności przekazane tym kanałem pomocy. Postanowiliśmy napisać emaila na kontak@mbank.pl - w pierwszym wypadku nie otrzymaliśmy odpowiedzi przez okres tygodnia. Dopiero na forum mBanku jeden z pracowników zainteresowany tym faktem poprosił o ponowne wysłanie emaila, w tym wypadku podaliśmy tylko datę wysłania poprzedniego i po tej interwencji przedstawiciela banku wreszcie uzyskaliśmy kompleksową odpowiedź, która wedle instrukcji cytujemy poniżej:
cyt:
_____________
Szanowny Panie,
w nawiązaniu do Pańskiego zgłoszenia uprzejmie informuję, iż prośba o podanie haseł z aktywnej listy haseł jednorazowych, pojawiająca się w momencie logowania do serwisu internetowego, spowodowana jest działaniem szkodliwego oprogramowania zainstalowanego w Pańskim systemie operacyjnym. Wirus ten wykorzystuje luki w przeglądarkach internetowych, a dzięki zaawansowanym funkcjom potrafi ukryć swoje działanie przed oprogramowaniem antywirusowym.
W związku z powyższym proszę o przeskanowanie komputera programem ARCANIX oraz ARCAMICROSCAN dostępnym bezpłatnie na stronie www.arcabit.pl w dziale POBIERZ. Po jego pobraniu, z obrazu w formacie ISO, należy przygotować płytę uruchamianą po restarcie komputera. W przypadku problemów z obsługą programu pracownicy firmy ArcaBit w godzinach od 08:00 do 16:00 w dni robocze dostępni są pod numerami telefonów pomocy technicznej. Pod adresem http://www.arcabit.pl/faq/index.php?CategoryID=17 dostępna jest również pomoc kontekstowa.
Do okresowej profilaktyki warto używać kilku programów antywirusowych. Zdecydowanie zalecamy programy komercyjne renomowanych producentów zapewniających szybką reakcję na pojawiające się nowe zagrożenia oraz oferujących wsparcie techniczne. Jeżeli nie zdecyduje się Pan na oprogramowanie płatne to sugerujemy użycie choćby dostępnych w sieci Internet bezpłatnych programów antywirusowych. Jednym z nich może być DR WEB CURE IT dostępny pod adresem www.freedrweb.com/cureit/
Mając na uwadze fakt, iż wirus infekuje również sektor MBR dysku twardego możliwe jest użycie programu, który potwierdzi infekcję oraz przywróci poprzednią wersję sektora (http://www2.gmer.net/mbr/mbr.exe). Instrukcję przesyłam w załączniku.
Po skutecznym usunięciu zagrożenia konieczna jest zmiana hasła dostępu do kanału Internet oraz pozostanie przy autoryzacji hasłami SMS.
Korzystając z okazji przypominam o odpowiednim zabezpieczeniu komputera, z którego Pan korzysta - bardzo ważne jest posiadane programu antywirusowego z aktualną bazą sygnatur, dobrego programu typu firewall oraz najnowszych aktualizacji i tzw. łatek systemowych.
Ufam, iż powyższe informacje okażą się pomocne w rozwiązaniu problemu. W przypadku dalszych pytań pozostaję do dyspozycji.
Z wyrazami szacunku,
Damian Antoniak
Inspektor bankowy
BRE BANK S.A. mBank
____________
Instrukcja użycia oprogramowania MBR.EXE
Oprogramowanie MBR.EXE służy do potwierdzenia zainfekowania boot sektora dysku komputera oraz do usunięcia wrogiego oprogramowania z MBR dysku.
1. Uruchom oprogramowanie mbr.exe
2. Otwórz log oprogramowania mbr.log zlokalizowany na pulpicie komputera.
3. Porównaj zawartość logu z przedstawionym poniżej komunikatem. Jeżeli w ostatniej linii pojawi się wpis: „MBR rootkit infection detected ! Use: "mbr.exe -f" to fix” oznacza to, że boot sektor dysku został zainfekowany.
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
MBR rootkit code detected !
malicious code @ sector 0x7fb6c9 size 0x194 !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
4.Jeżeli infekcja została stwierdzona, należy jeszcze raz wywołać oprogramowanie mbr.exe z parametrem –f. W tym celu otwieramy okno DOSowe (start->uruchom->cmd), przechodzimy do katalogu, w którym umieszczony jest program mbr.exe i w linii poleceń wpisujemy mbr.exe –f .
____________
Jak widać powyżej bankowi exsperci, a dokładniej inspektor bankowy nieco się wysilił w celu pomocy w danej sytuacji. Wykonaliśmy na zainfekowanym komputerze wszystkie operacje, wykryto zagrożenia, usunięto je i jaki był efekt? Początkowo wyglądało to tak jakby owa sytuacja była zażegnana i złośliwe oprogramowanie zostało usunięte. Niestety po niedługiej chwili i kilku testowych operacjach komunikat pojawił się znowu, co ciekawe zauważyliśmy, że pojawia się on co ileś logowań i nie zauważyliśmy by było to cykliczne. Jednym słowem niestety stwierdzić musimy, że sytuacja jest cięższa do rozwiązania niż się wydaje. Jedyne rozwiązanie to prawdopodobnie reinstalacja, bo zainfekowany komputer mimo wiedzy i operacji w celu usunięcia, powoduje powstawanie problemu w innym miejscu i tak cała spirala kręci się wokoło...
Sprawa jest tym gorsza, że wedle relacji osób, które miały styczność z tego typu sytuacjami sprawa ciągnie się już od ponad roku i nie znalazło się rozwiązanie ani w stosowanych programach antywirusowych, ani w edycji poprawek do przeglądarki firmy Microsoft, wszystkie instytucje milczą jakby sprawy nie było
|
.jpg)
