От жеж уроды. Завтра через это удаленное управление еще вирусов закачают. Не говоря уже о возможностях для удаленного оператора стырить деньги через клиент-банки, ключи АЦСК и многое другое.
а какая разница "сетевая - не сетевая", если программе всё равно нужна база данных? медок использует сервер БД firebird на нестандартном порту, именно она и есть служба "ezvitgrp".Что касается "под кем стартует у меня служба ezvitgrp" то боюсь что я у себя такую службу не найду ибо у меня не сетевая версия медка. Так что и здесь ваш выстрел не в десяточку.
а какая разница "сетевая - не сетевая", если программе всё равно нужна база данных? медок использует сервер БД firebird на нестандартном порту, именно она и есть служба "ezvitgrp".
Просто для интереса, погляди в папочку DB в папке медка, увидь там zvit.fdb .... потом поищи в папочках медка (\32 и \64) firebird.conf ...... C учетом того, что firebird, как любой сервер БД, может хранить процедуры, да загнать туда вредоносный код, да исполнить его от System ... ну , ты понял. Удивляюсь, как авторы атаки не использовали такую возможность - повезло нам всем.
Так что на всяк случай, службе ezbitgrp поставь старт от имени того пользователя, под которым у тебя медок работает. Раз уж озаботился "под кем работает медок".
На сервере оно стоит, кто сетевой вариант устанавливает.Я не нашел такой службы в списке служб. Может плохо искал
а несетевой вариант работает без базы данных, и всё хранит в текстовых файлах? ужас. Не смеши, плз.На сервере оно стоит, кто сетевой вариант устанавливает.
а несетевой вариант работает без базы данных, и всё хранит в текстовых файлах? ужас. Не смеши, плз.
ну не подумав про цю *уйню а-ля майкрософтп*здатийвесьтакий. Співпало з вірусною хрінню.у 10-ки есть текущие не глобальные обновления
а какая разница "сетевая - не сетевая", если программе всё равно нужна база данных? медок использует сервер БД firebird на нестандартном порту, именно она и есть служба "ezvitgrp".
Просто для интереса, погляди в папочку DB в папке медка, увидь там zvit.fdb .... потом поищи в папочках медка и в (\32 и \64) firebird.conf ...... C учетом того, что firebird, как любой сервер БД, может хранить процедуры, да загнать туда вредоносный код, да исполнить его от System ... ну , ты понял. Удивляюсь, как авторы атаки не использовали такую возможность - повезло нам всем.
Так что на всяк случай, службе ezvitgrp поставь старт от имени того пользователя, под которым у тебя медок работает. Раз уж озаботился "под кем работает медок".
p.s. а по поводу привилегий программ - ещё когда скайп был скайпом, а не тем, во что его превратил M$ - меня очень интересовал вопрос, "зачем скайпу читать /etc/passwd"- ответа авторы скайпа так и не дали
Нет, локальные машины используют службу на сервере. Поэтому коллега и не увидел ее на рабочей станции.
Нет, локальные машины используют службу на сервере. Поэтому коллега и не увидел ее на рабочей станции.
вот тут немного неверно. Они используют обычный файрберд, но посадили его на нестандартный порт. (чтоб не требовалось админу компа шаманнить с базами файрбёрда - т.к. очень многие авторы для своих программ пользуют именно файрбёрд). И да, установка служб требует именно админских прав - будь то медок, или "друк бланкив", или ещё какая программа с сервером БД.У фаербида есть своя штатаная служба которую писали разрабы фаербида. Медоковцы решили сумничать и написали свою службу, дефолтная служба их не устроила. Та служба ezvitgrp что медоковцы нацарапали требует админских прав. Вот и вся история, которая длится аж с 2012-го или ранее года.
ща я быстренько в виртуалке накачу локальный медок и погляду - чё там в локальной сейчас Вполне возможен "embedded firebird"Так что доверие к медку чуть выше одного процента
проприетарных, малоизвестных, подозрительных служб типа "ezvitgrp", выполняющихся с правами system я у себя на компе не наблюдаю. Это с одной стороны хорошо.
Рекомендую - называется "Autoruns for Windows"
⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.
Из паки пользователя, вообще, надо запретить запускать любые проги через групповую политику.Прогнал и увидел что в реестрике "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" Запускается неподписанная прога "D:\Users_W10\UserBUH\Documents\buh_install\ezvitInfo.exe"
в локальной - embedded firebiird , стартует внутри ezvit.exe.Каких либо запускающихся и неподписанных программ типа "ezvitgrp" не обнаружено
в локальной - embedded firebiird , стартует внутри ezvit.exe.
а уведомлятор не выноси, хай живет. удобен.
Да ладно. Модули удаленного доступа и всякие телеботы нельзя было всунуть в медок "случайно". Одним только пренебрежением безопасностью такое не объяснить. Диверсия готовилась сознательно.Именно это и произошло с медком.
"e" в медке - это уровень энергии их разрабов что-то делать в соответствии с секюритирекомендэшин, а "E" - это энергия хакеров равная их желанию медку дать красивый поджопник.
От жеж уроды. Завтра через это удаленное управление еще вирусов закачают. Не говоря уже о возможностях для удаленного оператора стырить деньги через клиент-банки, ключи АЦСК и многое другое.