Me han hackeado

[superkefka]

Buenas tardes.

Me dirijo a ustedes ya que no soy un experto en informática y no puedo solucionar este problema que me viene atormentando hace como 30 días.
Resulta que recibo clientes de distintos proveedores y clientes en mi cuenta de correo electrónico, un día me enviaron uno diciendo que tenía un saldo a mi favor o algo así y venía adjuntado un archivo .doc, el cual como boludo abrí, y resulta que no tenía nada, decía que habilitara la edición para ver y tampoco tenía nada.
Desde ese momento mi cuenta de ML es usada para enviar mensajes a distintas compras realizadas en el pasado con el siguiente texto:

Good day,

Please can you provide me with an update to the outstanding balance to prevent any further action being taken.
Payment for this invoice was due back in November.
Thank you for your business - we appreciate it very much.
-
Ventas SILARI
No colocar correos.
-
invoice-95620.doc(0.08MB)

----------------------------------------------

Otros mensajes son similares pero en español, y siempre adjunta un archivo .doc, que debe ser el mismo "virus" que me infectó.

Decidí entonces comprar el AVG por ML y escanear toda mi computadora, a lo cual no detectó nada, cambié contraseñas de ML cada vez que detectaba que habían enviado ese tipo de mensajes, también la clave del correo y nada. Me decidí entonces a adquirir un DVD de Windows 8.1 (tenía el 7 antes), y formatear la unidad C e instalarlo.
Apenas instaló cambié claves de todo, de usuario, de ML, correo, etc. Y hoy me vuelvo a encontrar con que volvieron a utilizar mi cuenta de ML para enviar ese tipo de mensajes, instalé Authy en mi teléfono para evitar que se conecten, pero no sé que puede ser. Por ahora el correo no veo que haya sido comprometido, ya que apenas había sido "infectado" enviaba spam a lo loco por lo cual mi proveedor de hosting decidió bloquearme el correo, así unas 3 veces hasta que dejaron de spamear.

La pregunta del millón es, que puede ser que tenga ? y como puedo proceder para solucionarlo ?

Desde ya muchas gracias!!

[manwan]

Probaste con examinar las configuraciones de tu correo?  

contraseña, reenvio, además de tu mail de respaldo, POP3, filtros y eso?

[rub'n]

seee, seguro eres un zombie ahora, o bot, cambia contraseñas de correo

[superkefka]

Buenas tardes!!

Si, he cambiado varias veces la contraseña del correo antes de reinstalar windows y después, también la contraseña que uso para ingresar al panel de control de mi hosting. Parecería que el correo está bien por ahora luego de instalar windows 8.1 y los cambios de contraseña, me extraña ML que haya podido acceder en el día de hoy, ya que también había cambiado la contraseña.

[superkefka]

Buenas tardes.

Disculpen que reviva el tema. Pero el loco este ha vuelto a acceder a mi cuenta de ML, me instalé el AUTHY en mi celular que es una protección que genera un código para ingresar a ML aparte de ingresar la contraseña, pero pudo ingresar y enviar los mensajes con el virus a varios clientes. No sé que puede estar fallando, no debería poder ingresar a ML sin tener mi celular físico.

Alguno tiene alguna idea ? reinstalé windows, modifiqué PW de correo, ML, ingreso a windows, router, instalé el authy, pero pudo ingresar.

Saludos y gracias!

[r32]

Hola, después de todo lo que has hecho, lo que se me ocurre es que te hayan instalado un bootkit, ya que has formateado, reinstalado Windows y la situación persiste.
Para asegurarte, puedes descargar un anti-bootkit desde aquí:

AVG Remover Bootkit:
Descarga: https://download.avg.com/filedir/util/avgrem/avg_remover_bootkit.exe

TDSS Killer:
Descarga: http://support.kaspersky.com/downloads/utils/tdsskiller.exe

BitDefender Bootkit Removal:
Descarga: http://download.bitdefender.com/removal_tools/BootkitRemoval_x86.exe
Descarga (64 bits): http://download.bitdefender.com/removal_tools/BootkitRemoval_x64.exe

Para eliminar los archivos infectados, ejecute la herramienta. Analizará automáticamente todos los discos disponibles e intentará reparar los archivos infectados. Si se encuentra un virus, se le pedirá que reinicie la PC y el archivo infectado se reparará durante el reinicio.
Ten paciencia y a ver si tienes un poco de suerte para eliminar tu infección.

Saludos.

[superkefka]

Buenas tardes!!

Muchas gracias por la ayuda! me descargué los 3 programas y escanee mi PC con dichos softwares, ninguno me ha tirado alguna data, el único el Remover for Bootkits me dice: "Reading MBR from PhysicalDrive0: nError = E0010057", el resto todo ok.

No sé si tenga algo que ver, pero el AUTHY se supone que debería funcionar para evitar el acceso a gente indeseada a mi cuenta de ML, porque no funciona ? como hace para ejecutar el programa de mi celular y obtener la clave de acceso ? Saludos y gracias de nuevo por la ayuda!

[BloodSharp]

Me suena a cookie hijack esto, lo mejor sería pedir soporte técnico al proveedor de la cuenta ya sea de mail como de Mercado Libre que te den soporte para renovar las credenciales de tu cookie de todas las sesiones activas y/o pedir banear la dirección de donde provenga la petición de envío del mail...


B#

[apuromafo CLS]

leyendo  siempre lo mas sano es intentar cambiar los correos y pedir disculpas a quienes corresponda, entiendo que aveces hay servicios buenos que nos permiten usar alias, pero aveces faltan filtros , yo apostaría que tienen comprometido a la web o al correo mismo si fuera por la sesión, pero algo me hace ruido, quizas es poquito:

Yo comenzaría cambiando del equipo de celular , no de contraseña ni nada de ello, has evidenciado todo en el equipo y validacion con celular, pero no se lee que hubieras respaldado algo del celular y reiniciarlo de fábrica... el celular se puede infectar de diferentes formas y tambien evidenciar resultados como el que comentas, si pasas por twitter y youtube, puedes evidenciar que en android hay muchas formas de infectar nuestros teléfonos y tener acceso a ellos cuando se requieran.

yo aunque parezca menos experto de todos los anteriores , primero tomaria el .doc y lo analizaría, a través de  algun analisis en virustotal o algo, para sacar alguna idea de lo que hace, casi siempre los análisis de documentos con malware deben hacerse en linux bajo plataformas con analisis de estilo forense, nunca en el host donde están afectado, casi siempre tienen macros con scripts hacia powershell y cosas raras. ejemplo https://app.any.run/

por otro lado :pensemos que tiene la cookie correcta de tu sesion, entonces pidio autorizacion para otro correo, o que importe imap por ti, ahi aun asi seria necesario no cambiar de contraseña sino de autorización, ejemplo usar pgp junto con el correo para validar la validación, o bien que alguien ha hackeado tu propio celular, entonces accede al celular y envia los mails de ahi sin drama..no me cabe duda que es una forma facil de no tener que estar cambiando de clave, tu ya tienes logueado el mail del celular.

por otro lado, nadie dice que el correo debe ser enviado de tu pc, fue enviado del mismo correo, pero puedes usar analisis de headers para verificar el origen de ello, hay herramientas publicas de apoyo


consejos de inexperto:
1) resetear de fábrica ese celular luego de respaldar los documentos importantes

2) Lograr que alguien de analisis de malware pueda verificar el .doc/zip del documento infectado ejemplo
https://app.any.run/

) lograr conversar con la plataforma o mail para cambiar de servicio (si, cambiar) hasta cuando se solucione

4) verificar que no tengas plugins adicionales al navegador que no has instalado (recuerda que podemos tener hasta sincronizado que bajen x plugins al navegador con x correo)

5) cuidar y velar el estado de seguridad de las tarjetas bancarias y transacciones.

6 )verificar tu router o donde te conectes a internet, hay muchas opciones aun

comenzar a usar firewall que te permitan ver conexiones entrantes y salientes,
verificar en el router si hay mas mac en las ip, etc


Saludos Cordiales

Apuromafo