Сегодня в районе 11:00 (MSK) с одного их моих аккаунтов на gmail (пусть будет myemail@gmail.com) стал массово рассылаться спам с ссылкой вида http://<разные домены>/<разные пути>/ugoogle.html. По ссылке ничего особо криминального просто редирект с рефералкой на сайт в стиле «заработай в интернете».
Казалось бы все просто и понятно, поймал я, лох, вирус, который увел мой пароль\куки и гадит. Но меня смущает, то, что я старался всегда жить «правильной» айтишной жизнью, а именно:
Скрытый текст1. В большинстве случаев использую linux (вдумчивого собранная и через BINHOST распространяемая gentoo) и последний версии FF ESR (noscript, requestpolicy, adblock, флеш включен в отдельном профиле, который только для флеша) и chromium (ScriptNo, adblock, flashblock). Для imap — последний же thunderbird ESR. Телефон — nokia n900 с maemo.
1.1 Оставшийся случай — комп на работе с Windows 7 x64, регулярно обновляемый, DrWeb 6.0 (лицензия) со свежими, каждые три часа обновляемыми, базами и FF с разделенными профилями: профиль с рабочей информация (все те же плагины, что и под linux), отдельный профиль под почту и платежные операции с голым браузером, так как многие платежные сайты дуреют от плагинов безопасности. Да я понимаю, что это самое «узкое» место, но я вроде бы принял все возможные под виндой меры для безопасности (например, отключил службу «Сервер»), да и интернет на работе через йоту, раздаваемую выделенным компом с Kerio Control. Да и логин с этого компа был несколько дней назад.
2. Пароль с энтропией аналогичной паролю «dbvuyGcxPy%». Да, я знаю про двухфакторную аутентификацию, но не хочу сообщаться свой мобильнику гуглу. Емейл для восстановления на собственном серваке, левых заходов на который не было.
3. Никогда не заходил на почту нигде, кроме вышеперечисленного. Незачем, так как с собой телефон с вбитыми настройками ящика.
4. Галочку «Запомнить меня» меня в вебе не использовал никогда. Так же как и функцию сохранения паролей в браузере. Пароль сохраняется только в настройках thunderbird, защищенный мастер-паролем (с аналогичной энтропией).
Заголовки рассылаемого спама следующие (* — вырезанные приватные данные):
Скрытый текстDelivered-to: *
gmail.com
Received: by 10.58.207.20 with SMTP id ls20csp410753vec; Mon, 5 Nov 2012
23:27:43 -0800 (PST)
Received: by 10.180.87.230 with SMTP id
bb6mr17041767wib.6.1352186863636; Mon, 05 Nov 2012 23:27:43 -0800 (PST)
Return-path: <myemail@gmail.com>
Received: from mail-we0-f195.google.com (mail-we0-f195.google.com
[74.125.82.195]) by mx.google.com with ESMTPS id
fp2si8850840wib.6.2012.11.05.23.27.43 (version=TLSv1/SSLv3
cipher=OTHER); Mon, 05 Nov 2012 23:27:43 -0800 (PST)
Received-spf: pass (google.com: domain of myemail@gmail.com designates
74.125.82.195 as permitted sender) client-ip=74.125.82.195;
Authentication-results: mx.google.com; spf=pass (google.com: domain of
myemail@gmail.com designates 74.125.82.195 as permitted sender)
smtp.mail=myemail@gmail.com; dkim=pass header.i=
gmail.com
Received: by mail-we0-f195.google.com with SMTP id z53so12199wey.2 for
<*
gmail.com>; Mon, 05 Nov 2012 23:27:43 -0800 (PST)
Return-path: <cybpsy@gmail.com>
Received-spf: pass (google.com: domain of *
gmail.com designates
10.180.87.230 as permitted sender) client-ip=10.180.87.230
Received: from mr.google.com ([10.180.87.230]) by 10.180.87.230 with
SMTP id bb6mr19781532wib.6.1352186862711 (num_hops = 1); Mon, 05 Nov
2012 23:27:42 -0800 (PST)
Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com;
s=20120113; h=mime-version:date:message-id:subject:from:to:content-type;
bh=FmodzDaoDrD+RsAH3/ViG/fUMeJRfJ+FiO766qwYo10=;
b=FxOEcPZh695P6Klc/QerSSLfiU3dV4PMEOFFcUcRAHDp1cMGKhh3ZAMBtnbe9PHxVy
zY8rgtiSonshdq1/yk16fZEnarN5i7+MOP9UEv5mmB3M0i3v+VX4B6owVdB4x06hk8Sg
fZaCID85UG2cFqBno95FvmnEnBEvleesRbQdF0KbYTHDt+7RsYMczKVokLGjKQcDz5VZ
pKL3lpPrXcgYgUwtdn24otYhj8hewsWwcFr3g/YD3+cNiHl7LlUOk2V+k/yzn5UR7aRq
MgvsHwydUPra604NfVpGSLxn/ZXMBAOuDjCwP7yL1BbGiaQn5jLpo63puNjnE/P1/fxi
0S9A==
Mime-version: 1.0
Received: by 10.180.87.230 with SMTP id
bb6mr17023834wib.6.1352186560963; Mon, 05 Nov 2012 23:22:40 -0800 (PST)
Received: by 10.216.114.7 with HTTP; Mon, 5 Nov 2012 23:22:40 -0800
(PST)
Date: Tue, 6 Nov 2012 11:22:40 +0400 (06. nov. 2012 kl. 08.22 +0100)
Message-id:
<CAPvRhhQDA=f3CGHfuWNq-fh5s*
mail.gmail.com>
Subject:
From: * <myemail@gmail.com>
To: *
gmail.com, *
mail.ru,
*
yandex.ru, *
yandex.ru, *
mail.ru
Content-type: text/plain; charset=ISO-8859-1
http://*/zoiwipqueio/ugoogle.html
Разошелся спам по всем адресам, фигурирующим в ящике: тем кто писал мне, тем кому писал я, а так же по все jid'ам в гуглотолке, но по емейлу (т.е. были попытки послать спам на адрес вида pupkin@jabber.ru) за 20 минут.
Потом мне стали писать разгневанные контакты, минут через 40 я добрался до компа (к сожалению я не нашел как поменять пароль через гугловский мобильный интерфейс), сменил пароль (мой пароль на ящике никто не менял), и отключил всех посторонних. Из подозрительной активности в списке «Последние действия» замечен IP 66.18.115.126 (США), зашедший с браузера в момент рассылки спама.
Теперь у меня вопросы:
1) Что это все-таки было? Все-таки банальный троянец залез на рабочую винду вопреки всем мерам? Или может моя паранойя, связывающая недавнее обновления веб-интерфейса гмыла и произошедший инцидент не так уж и беспочвенна и у кого-то такое уже было?
2) Что мне теперь делать? Писать ли куда-нибудь в гугл? Если да, то куда? Наслышан про игнор от саппорта гугла, так что ответ на вопрос для меня не очевиден.
