Bitcoin Forum

Volevo mettere in guardia coloro che usano btc-e.com perchè mi è successa una cosa che mi fa veramente innervosire!
Ho fatto come al solito il login sul suddetto exchange e sono andato nella mia pagina dove posso versare i bitcoin. Ho preso l'indirizzo che visualizzavo nella pagina e ho mandato i btc. Dopo un po' di tempo che non arrivavano ho contattato il supporto. Io sostenevo che quello fosse il mio address, loro mi dicevano che era completamente diverso da quello che vedevano loro! Morale, un malware mi fa visualizzare un indirizzo differente in modo da rubarmi ciò che verso sull'account! Per fortuna ci ho smenato poco:

https://blockchain.info/address/182xSy5ZWJ2QDVq3KVv2XSmSzuRVi5jibQ

Ma fate attenzione, perchè proprio non me lo sarei mai immaginato, avrei potuto versarci tranquillamente cifre più grosse! La prova del nove è stata collegarmi con il cellulare, e infatti in quel caso l'indirizzo di versamento è completamente diverso! Prima di fare grossi versamenti fate una prova!
Non ho ancora individuato il malware, appena riesco ad avere maggiori dettagli aggiorno il topic! In ogni caso, stavo usando Chrome.

Spero che questo post possa evitare a qualcun altro di cadere nella trappola!

Ma che miserabili, mi dispiace molto RED.
Hai fatto caso se te lo fa solo con btc-e o anche con altri siti ? O magari direttamente con i wallet (cioè se usi per esempio electrum o multibit, ti mette direttamente un indirizzo quando fai invio?

Ne ho già sentito parlare, si tratta di un virus che modifica gli indirizzi btc quando fai copia+incolla, tu credi di aver incollato l'indirizzo giusto ma in realtà viene sostituito con quello degli hacker, in questo modo sono loro a ricevere le monete. Non c'entra l'exchange, hai il pc infetto fai una scansione approfondita  :-[

allucinante..
se ne inventano di tutte per rubare..
alla fine dobbiamo dare la giusta attenzione quando entriamo negli exchange da pc .. stiamo parlando di BTC = soldi.. quindi meglio essere paranoici delle volte..

Per ora solo con btc-e! Multibit è corretto!


No, non avviene la modifica durante il copia/incolla! Io sulla pagina web visualizzo già l'address degli hacker!! E' ancora più difficile scoprirlo così.. Almeno fino a quando non ci versi su dei btc! Infatti io non riuscivo a capire.. Quando mi hanno risposto la prima volta, mi hanno detto "guarda che a noi quell'address non risulta, non è quello associato al tuo account!", e io come risposta gli ho mandato uno screenshot della pagina come dire, mi state prendendo in giro?! E invece no.. Io visualizzavo l'account hackerato, mentre se facevo il login dal telefono vedevo un altro indirizzo! Deve essere qualche script o add-on di Chrome!!

Sono appena tornato da una giornata impegnativa e adesso esco ancora, fino a domani non avrò tempo di guardarci, quando capirò esattamente cos'è aggiornerò il topic nella speranza di salvare qualcun altro!

Non ho capito bene, si tratta allora di una pagina clonata?  ???

Quindi in pratica ti crea una finta pagina per btc-e . E' complicato scoprire una cosa simile

In pratica è tutto normale tranne per il fatto che qualche malware mi sostituisce il mio indirizzo per versare, con quello di un altro! Per il resto io navigo e faccio trading nel sito, non è l'intera pagina ad essere clonata! Io sono effettivamente su btc-e.com, ma quando visualizzo la pagina con l'indirizzo di versamento, qualcosa lo sostituisce con un altro! Ma solo quella parte della pagina!

Cavolo mi spiace molto.. Grazie per la segnalazione cmq, tocca stare sempre attenti! Questo malware è proprio ******!  >:(

Ma è assurdo, come fa? Capivo se ti metteva un finta finta pagina di btc-e ma addirittura cambiarlo così penso che sia abbastanza complicato.
Certo che sta gente se ha cervello per fare ste cose, lo usasse per creare qualcosa di costruttivo.
Red facci sapere con qualche scansione se ti rileva qualcosa

Sto impazzendo.. La situazione iniziale era:

Mi collego con il mio computer con Chrome --> vedo indirizzo falso.
Mi collego un secondo dopo con il cellulare, o con internet explorer --> vedo indirizzo reale.

Adesso sono tornato a casa e non avevo fatto ancora niente:

Mi collego con il mio computer con Chrome --> vedo un terzo indirizzo completamente diverso dai due precedenti.
Mi collego un secondo dopo con il cellulare, o con internet explorer --> vedo lo stesso indirizzo di cui sopra.

In pratica è come se adesso il malware fosse inattivo.. Quando ho scritto inizialmente a btc-e per chiedere chiarimenti, mi hanno risposto così:


Non so più che fare! Consigli su software da usare per fare una scansione?!

disabilita tutte le estensioni di chrome e vedi se compare ancora l'indirizzo fasullo.

Ciao red,
Prova a scaricare e installare una distro live su usb..
E vedi un po' il resto da li..
Provato?

ciao red.

potresto provare a vedere da crhome il codice vero e proprio della pagina utilizzando i tool di sviluppo di chrome...

basta che fai F12 e vedi proprio il sorgente della pagina sulla quale stai navigando, link compresi.
magari riesci a capire se c'è qualche cosa di strano...
tienici aggiornati!!!

Qualcuno che si è beccato il malware è riuscito a rimuoverlo? In che modo?

più che altro c'è qualcuno che ha capito come ha fatto a beccarlo???
voglio dire qua si sta parlando di sezioni html rimpiazzate al volo sulla pagina su cui si sta navigando!!!

non è proprio un virus comune!

Sicuramente per colpa di qualche  wallet/client infettato , è sempre consigliato scansionarlo prima di eseguirlo.

quoto!!!

meglio ancora sarebbe compilarselo... e dare un'occhiata al codice sorgente...

solo che bisogna avere il know how sufficiente!

non sarebbe male se qualcuno mettesse un tutorial per compilare su winzoz con roba tipo Ming i wallet rilasciati..

Resoconto:

Ho scansionato tutto il sistema accuratamente ed è risultato questo:

PUP.Optional.AZlyrics.A

Per maggiori info:
http://blog.yoocare.com/pup-optional-azlyrics-a-removal-guide/

Probabilmente quello è stato il mezzo che ha permesso al malintenzionato di andare a fare quello che voleva..

Adesso formatto tutto, mi sembra più sicuro che cercare di eliminare il malware, e soprattutto faccio prima..! Spero sia utile a qualcuno!

se posso...

con che tool lo hai rilevato???

penso potrebbe essere una info utile a tutti!!!

sembra che virusTotal sia in grado di rimuoverlo.

https://www.virustotal.com/it/file/a0cb7bd317e2c8e7ef983e3554c5270dc0cd5bc7603c40c9249e4bcf1ebc9a60/analysis/

pure adwCleaner

http://www.fixyourbrowser.com/removal-instructions/remove-pup-optional-addlyrics-virus-removal-guide/

e malwareBytes

http://malwarefixes.com/threats/pup-optional-lyricsad/

cmq non ho provato nessuno dei 3 non avendo il virus!!!

Ho utilizzato MalwareBytes!


Il problema è che leggendo in giro ho visto che tanti lo eliminano e poi ricompare!


Ora provo a seguire la procedura!

Stai attento che non sia un'estensione di Chrome a reinstallartelo ogni volta, io avevo una volta un malware per fortuna abbastanza innocuo che MalwareBytes mi rimuoveva ma ogni volta che aprivo Chrome mi veniva reintallato. Fai un giro anche con ADWcleaner, che ti controlla anche le estensioni.

Ciao Saverio.
Quindi mi consiglieresti adw cleaner invece di malwarebytes?
Ma sta roba è free?

malwarebytes è ottimo e io un giro glielo faccio fare sempre, adwcleaner mi pare ottimo per analizzare le estensioni dei browser e le chiavi di registro, uno non esclude l'altro. C'è la versione free di entrambi che basta e avanza

ottimo!!!
li scarico tutti e due..
anche se il wallet.dat è backuppato su 3 usb non si sa mai!!!

stai a vedere che appena lo restoro o ritrado qualche cosa su bittrex mi trovo ad avere problemi!!!!!!

hai il crack a portata di mano per malwarebytes e adw??

nella speranza che il crack non sia il virus

 ::) ::) ::) ::) ::) ::)

Perché il crack? vai tranquillo con la versione free

ah sono tutti e due free?!?!?!?!

 :o :o :o :o :o

non lo sapevo!!!

ho sempre usato solo e soltanto Avita!!!
OTTIMO!!!!

grazie mille!!!