Podmieniona strona BZWBK - Zitmo/Zeus? - Logi FRST

[daawid92]

Witam serdecznie,

 

Użytkownik otrzymał wiadomość z linkiem do zawirusowanego pliku i kliknął na link.

Początkowo myślałem, że to CTB-Locker/Cryptolocker jednak dane nie zostały zaszyfrowane.

Wiadomość poniżej:

From: 73664 Poczta Polska [mailto:natalia@l-poczta.info] 

Sent: Wednesday, July 15, 2015 5:27 PM

To: 

Subject: 151885 Potwierdzenia otrzymania zamówienia

 

Dzień dobry!

Twoja przesyłka nie została doręczona w dniu 9 lipiec 2015, ponieważ nikogo nie było w domu. Informacje dotycza ce przesyłki możesz otrzymać klikaja c link. Musisz wydrukować informacje dotycza ce przesyłki i zgłosić się do najbliższego biura firmy. 

 

Informacja o numerze twojej przesyłki

 

 

Uwaga!

W razie jeżeli zamówienie nie zostanie odebrane w okresie 30 dniu, firma nalicza opłatę z tytułu przechowywania. Szczegółowe informacje o przechowywaniu oraz pobieranych opłatach znajdziesz na naszej stronie internetowej.

 

Z powazaniem,

Poczta Polska.

 

________________________________________

unsubscribe

2015 Poczta Polska Post

 

 

 

Użytkownik zasygnalizował, że miał problem z dostępem do konta bankowego BZWBK.

Po próbie zalogowania pojawiło się okno z wyborem systemu operacyjnego telefonu. Użytkownik wybrał system. Twierdzi, że nie podawał numeru telefonu ani na telefon nie dotarł żaden link do pobrania/wiadomość z kodem.

Pierwsze podejrzenia padły na Zitmo/Zeus

http://www.bankier.pl/wiadomosc/BZWBK-ostrzega-trojan-Zeus-znowu-atakuje-2986754.html

Nie daję sobie ręki uciąć, że użytkownik mówi prawdę twierdząc, że nie otrzymał żadnej wiadomości na telefon.

 

Na komputerze zainstalowany jest program antywirusowy Microsoft Security Essentials z aktualną bazą wirusów.

 

Przy uruchamianiu komputera pojawiał się komunikat z MS Security Essentials:

Na komputerze wykryto elementy, które wymagają dalszej analizy. Wysłanie wymienionych poniżej plików może ułatwić analitykom firmy Microsoft określenie, czy te elementy są złośliwe.

C:\Program Files\Common Files\Microsoft Shared\VST10.1\peripheral_component\chloroplast.exe

 

Zgodnie z instrukcją:

http://www.bzwbk.pl/przedsiebiorstwa-i-korporacje/bankowosc-elektroniczna/bezpieczenstwo-i-prywatnosc/komunikat-dotyczacy-bezpieczenstwa/komunikat-dotyczacy-bezpieczenstwa.html

http://support.kaspersky.com/viruses/disinfection/2020#block3

 

Uruchomiłem ZbotKiller.exe jednak aplikacja nic nie wykryła i nic nie usunęła.

 

Czy spotkaliście się z tym wirusem? Jakie działania powinienem podjąć?

Użytkownik zmienił hasło w banku i przy pomocy nowego hasła nie logował się na zawirusowanym komputerze.

 

W załączeniu logi z FRST.

 

[jessica]

Ok. 23 sierpnia wraca @Picasso, więc wtedy zgłoś swój temat w tym (lub podobnym, uaktualnionym) temacie: http://www.fixitpc.p...bez-odpowiedzi/