Вирус просит биткоины. Хелп

[Wowa]

А если серверная часть медка стоит на сервере предприятия и тоже под админом работает, то консультант имеет привелегии админа на сервере предприятия. Короче забацали медоковские студенты СУППЕРшнягу.

Да, сейчас посмотрел, именно с сервера ломится medoc на ezvit.com.ua и другие подозрительные ресурсы. А, вовсе не с рабочего места бухгалтера. Так что zvitgrp - это далеко не сервер firebird, как нам тут трет alex три топора. Это натуральный троян.
И да, трафик http, ломануть может любой. Если бы сделали https, то только сами медковцы.

 

[SergSerg1]

Да ладно. Модули удаленного доступа и всякие телеботы нельзя было всунуть в медок "случайно". Одним только пренебрежением безопасностью такое не объяснить. Диверсия готовилась сознательно.

Они на вопрос нафига его туда насильно и без спросу пользователя всунули мычат мол "это ж для наиоперативнейшей поддержки дарагих пользователей"

Вроде благое намерение, но благими намерениями как известно...

Говорят "ежли не нужен консультант - удалите его из папки assystant"

Для денинстала программы предлагают что-то вручную удалить. Бред сивой кобылы. А если произойдет апдейт до 191-й версии и консультант появится вновь что тогда ? Ответов на неудобные вопросы от них нет.

 

[SergSerg1]

Да, сейчас посмотрел, именно с сервера ломится medoc на ezvit.com.ua и другие подозрительные ресурсы. А, вовсе не с рабочего места бухгалтера. Так что zvitgrp - это далеко не сервер firebird, как нам тут трет alex три топора. Это натуральный троян.
И да, трафик http, ломануть может любой. Если бы сделали https, то только сами медковцы.

Дядю Сашу три топора не обижать - он злой, но хороший

 

[alex444]

Дядю Сашу три топора не обижать - он злой, но хороший

ой та ладно. Как будто ваши винды сами по себе не сифонят куда-то всем, на компе с виндой происходящим.

По поводу файрбёрда медка...

Service: ZvitGrp

Исполняемый файл:
E:\MeDOC\DMF.AppServer.exe

ещё полезно посмотреть конфиг этого ехешнника, да и в папке log весьма интересно... например, что такое prozvit.intelserv.kiev.ua , куда данный суперновый 190-й медок ломится упорно (найти не может, ибо по прежнему конфисковано всё )

 

[Wowa]

ой та ладно. Как будто ваши винды сами по себе не сифонят куда-то всем, на компе с виндой происходящим.

Все же протоколируется. Какой комп с какой учеткой куда полез. Так что, огульных обвинений не надо.

 

[SergSerg1]

ой та ладно. Как будто ваши винды сами по себе не сифонят куда-то всем, на компе с виндой происходящим.

По поводу файрбёрда медка...



ещё полезно посмотреть конфиг этого ехешнника, да и в папке log весьма интересно... например, что такое prozvit.intelserv.kiev.ua , куда данный суперновый 190-й медок ломится упорно (найти не может, ибо по прежнему конфисковано всё )

Злой дядя Саша явно не любит винды всеми своими фибрами, хотя и много о них чего знает Дядя Саша поклонник линуксов/юниксов - это видно за километр ))

По поводу "prozvit.intelserv.kiev.ua" и прочего стучания медка на подозрительные сайты...

Я вот себе задаю всё время один и тот же вопрос: а накой ляд телебот собирал коды ОКПО ???

От шо зарубежному хацкеру делать с укроёнскими кодами ОКПО ?

Ответ у меня напрашивается один: работа этого телебота, собирающего ОКПО это не зарубежная политическая война, а это внутриукраинская экономическая борьба. Возможно что телебот кому-то из сотрудников интелексервиса заказал украинский заказчик пожелавший собрать инфу по контрагентам. А вот вирус Петя мог попасть в медок благодаря действиям иноземных хацкеров как результат политической борьбы. Возможно что если бы не петя, то телебот еще долго бы втихаря собирал инфу.

 

[alex444]

Я вот себе задаю всё время один и тот же вопрос: а накой ляд телебот собирал коды ОКПО ???

индивидуально можно теперь каждому предприятию, например, в следующий раз, всунуть набор "персонализированных" воздействий.

зарубежный хакер, если заметили по отчетам, управлял сервером апдейтов с латвийского IP (хоть и с хостинга) , а это экс-СССР, всё-таки.

 

[surviver]

Eset пиарится на вирусе (пришел спам сегодня):

Звeрнeння дo клієнтів М.E.Doc

Шaнoвний абoнeнт!

Рекомендуємo Вaм встaновити aнтивірусну прoграму ЕСЕТ для зaхисту
кoмп'ютерів підприємствa.

Дo 31 липня 2017 aнтивірус мoжна придбaти зa пільгoвими цінaми.
Рахунок-фактуру на оплату ліцензії ЕСЕТ для захисту 5 ПК на 1 рік ви
можете отримати за посиланням:

и прочее бла-бла-бла, какие они замечательные

 

[9life]

пока не тестил
но
через базу что бы
нужно залогиниться в базу..
так что это не варик был бы


с чего вообще взяли что там фаерберд?

 

[9life]

кстати под старого петю скоро выпустят декодер

и вообще не медком едины

⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.

а тут может и окпо пригодится
через ваш счет бабло пропустить за левую куплю продажу

 

[alex444]

с чего вообще взяли что там фаерберд?

помотри на базу, подсунув её стандартному файрберду.

пока не тестил
но
через базу что бы
нужно залогиниться в базу..
так что это не варик был бы

стартуя из под аппликухи, которая и работает с базой и в которой логин-пароль к базе.... запросто. Ну и плюс SYSDBA:masterkey никто не отменял - я почти уверен, что там оно и есть - а если и нет, повторяю - dmf.app.server имеет вшитый пароль к собственной базе


ps для сетевой там на выбор - emb.файрберд, standalone файрбёрд, оракл. Для локальной версии - только ембеддед файрбёрд.

 

[9life]

стартуя из под аппликухи, которая и работает с базой

а ну если так
я рассматривал прямой коннект к базе

SYSDBA

как вариант
но оно не дофолтное...

 

[t850]

Вірус ваш лох, до речі, бітки якраз посипались

 

[Ghost]

помотри на базу, подсунув её стандартному файрберду.


стартуя из под аппликухи, которая и работает с базой и в которой логин-пароль к базе.... запросто. Ну и плюс SYSDBA:masterkey никто не отменял - я почти уверен, что там оно и есть - а если и нет, повторяю - dmf.app.server имеет вшитый пароль к собственной базе


ps для сетевой там на выбор - emb.файрберд, standalone файрбёрд, оракл. Для локальной версии - только ембеддед файрбёрд.

Всё так и есть, именно через них смотрел пароль встроенного админа, т.к. сказали потеряли а некоторые вещи только через него настраиваются

 

[alex444]

а ну если так
я рассматривал прямой коннект к базе

а зачем прямой коннект в базе, если телепорт вкомпилирован авторами медка прямо в zvitpublishedobjects, а он как раз часть dmf.appserver ? Повторяю, загляни в dmf.appserver.exe.config - там всё открытым текстом, в xml

TalosGroup:

While we didn’t know it at the time, we can now confirm ESET’s research into the backdoor that had been inserted into the M.E.Doc software. The .net code in ZvitPublishedObjects.dll had been modified on multiple occasions to allow for a malicious actor to gather data and download and execute arbitrary code:

перевожу в вольном переводе: это не добавка "ассемблернного кода в либу", это добавка в ИСХОДНИКИ! И потом скомпилировано.

 

[9life]

смотрел пароль встроенного админа

 

[9life]

а зачем прямой коннект в базе

без комментариев

 

[9life]

перевожу в вольном переводе: это не добавка "ассемблернного кода в либу", это добавка в ИСХОДНИКИ! И потом скомпилировано.

да это понятно уже

 

[alex444]

именно через них смотрел пароль встроенного админа, т.к. сказали потеряли

что ещё раз говорит о дебилизме авторов медока. дефолты на ура можно изменять.

 

[9life]

что ещё раз говорит о дебилизме авторов медока. дефолты на ура можно изменять.

у меня на одной конторе так же пароли только в мскюл видны были...
прога тоже аля медок , своя разработка

и подозреваю что таким образом (зная пароль админа, можно было в базе менять данные..) украли много денег...