Chvalov
@Chvalov

Угнали Login Data и другие пароли, стоит ли бояться?

Словил простой но не приятный вирус, который KAV даже не подозревает нивчем.
После того как понял что софт обманка, начал запускать его в песочнице и других тулзах для изучение поведения.
И тут открылась полная картина.

Суть в том что вирус ворует целие папки:
C:\Users\Adminko\AppData\Roaming\Opera Software\Opera Stable
C:\Users\Adminko\AppData\Local\Google\Chrome\User Data\Default
и другие файлы с Skype, FileZilla и еще парочку не понятных
(Это то что я смог увидеть в архиве который отправлялся на FTP сервер)

Пароли от Skype и FTP сменил все сразу, а вот по поводу браузеров на сколько мне известны то эти файлы ничего хакеру не дадут, так как пароли зашифрованы с помощью DPAPI.

Вопрос в следующем, может ли хакер своровать также и DPAPI чтобы расшифровать мои пароли у себя на ПК ?
Так как в архиве били еще файлы которые вообще не читаеми и я не знаю что это и откуда их стянули, но есть чувство что это и есть тот самый DPAPI.

У меня стоит Windows 10 x64
  • Вопрос задан
  • 2138 просмотров
Пригласить эксперта
Ответы на вопрос 1
@nirvimel
  1. Это не вирус, а троян (вирус, как минимум, способен размножатся без участия (использования) человека).
  2. Все что он стянул из профиля, под которым сам запущен, он сможет расшифровать (потому, что это может браузер, запущенный под этим юзером).
  3. Если он был запущен из-под администратора, то он стянул и расшифровал (или прихватил все необходимое для расшифровки) все хоть сколько-нибудь интересное из профилей всех юзеров на машине.
  4. Единственный случай, когда DPAPI могло бы чем-то помочь, это если бы троян, запущенный не под администратором, каким-то образом получил доступ к профилю браузера в профиле другого юзера, но не получил бы доступ к реестру того юзера (файл в корне его профиля). Случай вообще редчайший, и может рассматриваться число теоретически, потому что по-умолчанию права доступа закрывают все содержимое профиля одного юзера от другого (не администратора).
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы