Вирус просит биткоины. Хелп

[SergSerg1]

От жеж уроды. Завтра через это удаленное управление еще вирусов закачают. Не говоря уже о возможностях для удаленного оператора стырить деньги через клиент-банки, ключи АЦСК и многое другое.

Фтопку это медок, фтопку



На этой официальной странице им задавали вопросы по поводу программы удаленного управления: есть ли у нее цифровая подпись, шифрует ли она трафик, проходила ли аудит безопастности, какие у нее разрешения, как можно её удалит и т.д. и т.п.

Единственное что они выдавили из себя "вы говорите оператору сгенерированный пароль и только тогда оператор может к вам подключиться" Бред сивой кобылы!!!

Я например делаю предположение такое: их операторы могут подключиться в любом случае, но им руководство строг настрого наказало играть с клиентами в светскую игру "пароль" изображая наличие безопасности.

Какие у них будут аргументы развеять моё предположение ?? Думаю никаких.

Или например могу сделать другое предположение: с паролем клиент видит управление его компом оператором, а без пароля оператор все равно управляет но в режиме hidden.

Что еще забавно: в медке есть групповые настройки для пользователей с разным уровнем доступа к базе. Но вот этот "помошник" он-то запускается не из базы, не из основной программы медок. Этого помощника может запустить любой пользователь который вошел в виндовс и не прошел медоковскую авторизацию!!! Другими словами, если я не доверяю бухгалтерше или не доверяю её регулярно приходящему любовнику, который работает в конкурирующей конторе, в плане настройки программы, то я как амин медка могу подрезать у нее права средствами медка. Но при этом она все равно может напрямую в моё отсутствие соединиться с техподдержкой медка через помощника и техподдержка может в моё отсутствие делать на компе всё что захочет в присутствии ничего не шарящей в компах бухгалтерши!!! Во бредятина !!!

Фтопку это медок, фтопку

 

[alex444]

Что касается "под кем стартует у меня служба ezvitgrp" то боюсь что я у себя такую службу не найду ибо у меня не сетевая версия медка. Так что и здесь ваш выстрел не в десяточку.

а какая разница "сетевая - не сетевая", если программе всё равно нужна база данных? медок использует сервер БД firebird на нестандартном порту, именно она и есть служба "ezvitgrp".
Просто для интереса, погляди в папочку DB в папке медка, увидь там zvit.fdb .... потом поищи в папочках медка (\32 и \64) firebird.conf ...... C учетом того, что firebird, как любой сервер БД, может хранить процедуры, да загнать туда вредоносный код, да исполнить его от System ... ну , ты понял. Удивляюсь, как авторы атаки не использовали такую возможность - повезло нам всем.

Так что на всяк случай, службе ezvitgrp поставь старт от имени того пользователя, под которым у тебя медок работает. Раз уж озаботился "под кем работает медок".


p.s. а по поводу привилегий программ - ещё когда скайп был скайпом, а не тем, во что его превратил M$ - меня очень интересовал вопрос, "зачем скайпу читать /etc/passwd"- ответа авторы скайпа так и не дали

 

[SergSerg1]

а какая разница "сетевая - не сетевая", если программе всё равно нужна база данных? медок использует сервер БД firebird на нестандартном порту, именно она и есть служба "ezvitgrp".
Просто для интереса, погляди в папочку DB в папке медка, увидь там zvit.fdb .... потом поищи в папочках медка (\32 и \64) firebird.conf ...... C учетом того, что firebird, как любой сервер БД, может хранить процедуры, да загнать туда вредоносный код, да исполнить его от System ... ну , ты понял. Удивляюсь, как авторы атаки не использовали такую возможность - повезло нам всем.

Так что на всяк случай, службе ezbitgrp поставь старт от имени того пользователя, под которым у тебя медок работает. Раз уж озаботился "под кем работает медок".

Я не нашел такой службы в списке служб. Может плохо искал

 

[Wowa]

Я не нашел такой службы в списке служб. Может плохо искал

На сервере оно стоит, кто сетевой вариант устанавливает.

 

[alex444]

На сервере оно стоит, кто сетевой вариант устанавливает.

а несетевой вариант работает без базы данных, и всё хранит в текстовых файлах? ужас. Не смеши, плз.

 

[Wowa]

а несетевой вариант работает без базы данных, и всё хранит в текстовых файлах? ужас. Не смеши, плз.

Нет, локальные машины используют службу на сервере. Поэтому коллега и не увидел ее на рабочей станции.

 

[t850]

у 10-ки есть текущие не глобальные обновления

ну не подумав про цю *уйню а-ля майкрософтп*здатийвесьтакий. Співпало з вірусною хрінню.
І взагалі вона за*бала вже кожного дня оновлюватись. В лінуксі такої *уйні нема.

 

[SergSerg1]

а какая разница "сетевая - не сетевая", если программе всё равно нужна база данных? медок использует сервер БД firebird на нестандартном порту, именно она и есть служба "ezvitgrp".
Просто для интереса, погляди в папочку DB в папке медка, увидь там zvit.fdb .... потом поищи в папочках медка и в (\32 и \64) firebird.conf ...... C учетом того, что firebird, как любой сервер БД, может хранить процедуры, да загнать туда вредоносный код, да исполнить его от System ... ну , ты понял. Удивляюсь, как авторы атаки не использовали такую возможность - повезло нам всем.

Так что на всяк случай, службе ezvitgrp поставь старт от имени того пользователя, под которым у тебя медок работает. Раз уж озаботился "под кем работает медок".


p.s. а по поводу привилегий программ - ещё когда скайп был скайпом, а не тем, во что его превратил M$ - меня очень интересовал вопрос, "зачем скайпу читать /etc/passwd"- ответа авторы скайпа так и не дали

Всё проделал как Вы говорите.

папочку DB в папке медка нашел, увидел там там zvit.fdb

далее дал команду на поиск firebird.conf в директории медка

Поиск нашел аж три таких конфига - в корневой медка и в /32 и в /64

Блокнотом заглянул в каждый из этих конфигов. в каждом из них дал команду на поиск "ezvitgrp". Ни в одном из конфигов "ezvitgrp" не обнаружено.

Где еще чего поискать и посмотреть ??

Я имхую что медоковцы нацарапали свою службу ezvitgrp в качестве прокладки для доступа к серверной базе данных фаербида.

У фаербида есть своя штатаная служба которую писали разрабы фаербида. Медоковцы решили сумничать и написали свою службу, дефолтная служба их не устроила. Та служба ezvitgrp что медоковцы нацарапали требует админских прав. Вот и вся история, которая длится аж с 2012-го или ранее года.

В несетевой версии медка видать эта прокладка к доступу к базе данных фаербида не потребовалась. Следовательно права админа нужны только на этапе инстала чтобы в реестре в ветках с админским доступом что-то наляпать.

У меня вообще нет серверной части медка

Поправьте, дядя Саша, если что не так.

 

[SergSerg1]

Нет, локальные машины используют службу на сервере. Поэтому коллега и не увидел ее на рабочей станции.

У меня вообще нет серверной части медка

 

[alex444]

Нет, локальные машины используют службу на сервере. Поэтому коллега и не увидел ее на рабочей станции.

так у него ж как раз несетевая.

 

[alex444]

У фаербида есть своя штатаная служба которую писали разрабы фаербида. Медоковцы решили сумничать и написали свою службу, дефолтная служба их не устроила. Та служба ezvitgrp что медоковцы нацарапали требует админских прав. Вот и вся история, которая длится аж с 2012-го или ранее года.

вот тут немного неверно. Они используют обычный файрберд, но посадили его на нестандартный порт. (чтоб не требовалось админу компа шаманнить с базами файрбёрда - т.к. очень многие авторы для своих программ пользуют именно файрбёрд). И да, установка служб требует именно админских прав - будь то медок, или "друк бланкив", или ещё какая программа с сервером БД.

 

[SergSerg1]

проприетарных, малоизвестных, подозрительных служб типа "ezvitgrp", выполняющихся с правами system я у себя на компе не наблюдаю. Это с одной стороны хорошо.

Что и как, с какими правами, с какими сертификатами/подписясми или без подписей, с какими оценками virustotal, и в каком виде под разными профилями пользователей запускается в системе и откуда именно запускается я в винде мониторю при помощи чудесной утилитки от одного из разрабов которого впоследствии купила микрософт. Рекомендую - называется "Autoruns for Windows"

⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.

Но с другой стороны не известно каких дыр в системе наделал установщик медка, ведь я ему хоть и временно но дал админские права.

Так что доверие к медку чуть выше одного процента

 

[alex444]

Так что доверие к медку чуть выше одного процента

ща я быстренько в виртуалке накачу локальный медок и погляду - чё там в локальной сейчас Вполне возможен "embedded firebird"

 

[SergSerg1]

проприетарных, малоизвестных, подозрительных служб типа "ezvitgrp", выполняющихся с правами system я у себя на компе не наблюдаю. Это с одной стороны хорошо.

Рекомендую - называется "Autoruns for Windows"

⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.

Сказанул и вдогонку самому стало интересно что покажет ауторунс в профиле пользователя где крутится медок.

Прогнал и увидел что в реестрике "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" Запускается неподписанная прога "D:\Users_W10\UserBUH\Documents\buh_install\ezvitInfo.exe"

По пути этого реестра запускаются не службы, а просто проги. Посмотрел с какими правами она висит - висит с правами ограниченного юзера "UserBUH"

Назначение этой проги - информить меня если налоговая или контрагент мне чонить прислали, например квитанцию или счет.

ezvitInfo.exe на вирустотал вроде зелёная

На всякий случай в ауторансе снял галочку запуска этой проги.

Каких либо запускающихся и неподписанных программ типа "ezvitgrp" не обнаружено

 

[Wowa]

Прогнал и увидел что в реестрике "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" Запускается неподписанная прога "D:\Users_W10\UserBUH\Documents\buh_install\ezvitInfo.exe"

Из паки пользователя, вообще, надо запретить запускать любые проги через групповую политику.

 

[9life]

ну , ты понял.

да
спасибо

через udf потестю

 

[alex444]

Каких либо запускающихся и неподписанных программ типа "ezvitgrp" не обнаружено

в локальной - embedded firebiird , стартует внутри ezvit.exe.

а уведомлятор не выноси, хай живет. удобен.

 

[SergSerg1]

в локальной - embedded firebiird , стартует внутри ezvit.exe.

а уведомлятор не выноси, хай живет. удобен.

Ну вот получается что тем у кого не сетевой медок, таки можно рекомендовать инсталить в профиль ограниченного юзверя. Но всё равно это как бы выход из ситуации, но через одно место.

Просто медоковцы по какой-то причине с самого начала забили на рекомендуемую структуру софта и так оно всё и тянулось, пока жаренный петух не клюнул.

В квантовой физике есть постулат или доказанная теорема (точно не помню) о том что для любой частицы с энергией "e" существует не равная нулю вероятность того что эта частица сможет перепрыгнуть через энергетический барьер величиной "E" даже если выполняется условие "e" < "E".

Именно это и произошло с медком.

"e" в медке - это уровень энергии их разрабов что-то делать в соответствии с секюритирекомендэшин, а "E" - это энергия хакеров равная их желанию медку дать красивый поджопник.

Как вы думаете какой знак неравенства нужно поставить во втором случае ??

Думаю что не в пользу медка. Рано или поздно это должно было случиться по теории вероятности.

 

[Wowa]

Именно это и произошло с медком.

"e" в медке - это уровень энергии их разрабов что-то делать в соответствии с секюритирекомендэшин, а "E" - это энергия хакеров равная их желанию медку дать красивый поджопник.

Да ладно. Модули удаленного доступа и всякие телеботы нельзя было всунуть в медок "случайно". Одним только пренебрежением безопасностью такое не объяснить. Диверсия готовилась сознательно.

 

[SergSerg1]

От жеж уроды. Завтра через это удаленное управление еще вирусов закачают. Не говоря уже о возможностях для удаленного оператора стырить деньги через клиент-банки, ключи АЦСК и многое другое.

А теперь представьте что бухгалтерша работает под админом и запросила через этого Медок-консультанта помощи. Консультант с правами админа начнет шарудить на компе перед глазами ничего не шарящей бухгалтерш.

Во развлекуха для админа который на фирме работает !!!

Я не сильно удивлюсь если окажется что этот медок-консультант не шифрует трафик. Короче ховайся в жито. А если серверная часть медка стоит на сервере предприятия и тоже под админом работает, то консультант имеет привелегии админа на сервере предприятия. Короче забацали медоковские студенты СУППЕРшнягу.

Я имхую что мы еще сможем наблюдать эпидемию не одного Пети или Васи, будут еще и Феди и Коли.

Как бы медок не оказалась украинским Титаником