SaAnVi.Ruпародиифотоприколыбаннаяполитотакомпотажитота вкладка меню  сцылкиблогдумырецензиипоржатьфотоотчётыподдержать (12.5%)
^
Читаешь?
Интересно?
Поддержи.
SaAnVi.Ru
музыкальные приколы
фотоприколы / банная
политота / компота
житота / сцылки
блог / думы
рецензии на фильмы
тексты на поржать
фотоотчёты
Don't speak Russian?В избранноеПодписка РейтингАктивностьПоддержать (12.5%)

последние запросы

Яндекс поискпоиск Яндекса по сайту

нафигатор
*Музыка
Приколы, пародии, переделкиПесенки-чудесенкиПриколы (прочее)Авторский инструменталАвторские песниМинусовки (HiFi)Минусовки (LoFi)Минусовки (избранное)СаундтрекиZX SpectrumMODsMIDI
 
*Фото, рисунки
ПриколыБаннаяКарикатурыЖивотныеБелкиНасекомыеНебоЦветы, растенияПриродаКрасноярскРазноеФотоотчётыТрансляцииОбои (1280x1024)Обои (1680x1050)Обои (FullHD)СтокМоё
 
*Статьи
СмешноеРецензии на фильмыОбзорыЗвукСофт, комп, инетФотоСлова к песнямРецептыРазноеОчумелые ручкиЯндекс.ДиректФинансыИстории моей жизниДомостроениеОт других авторовПолитотаКомпотаЖитотаСцылкиВопросы по компьютеруВопросы по звуку
 
*Программы
Battle Ship DeLuxePut The BlockPrometeusNetZhopSpectrAnsDCAD
 
*Рингтоны
 
*Рейтинги
ОбщийМузыкаМинусовкиФотоСтатьиБлог
 
*Об авторе и сайте
АвторыЧаВоКонтактыБлогДумыАктивностьЮзерыКЖПСсылкиХостингКартаПоддержать сайт (12.5%)Горячие поклонники

 

блогЪ
одномоментные думы
последняя трансляция

25.03.2024 ньюс, буря, коньки

21.03.2024 ВРПВ: Навальный, Астафьев

19.03.2024 DNS: проверяем товары тщательней

18.03.2024 HDD, Зингельшухер, Крокус

12.03.2024 Спамер-идиот

11.03.2024 проект, затычки, голосование

05.03.2024 Над ЖЖ нависла Ж?

04.03.2024 вокал, кабели, шрифт

01.03.2024 Яндекс.Дурак

29.02.2024 Фейковые мастера на Авито

весь блог ▶
популярные посты ▶

 

подпишизь

RSS новости RSS комментарии

Вирус Regin: шо такое?

опубликовано:  25.11.2014  <весь блог>


Вчера мировая общественность была напугана статьёй про супер-вирус Regin, который стопицот лет не обнаруживался никакими антивирусами, стырил миллиарды терабайт данных и чуть ли не переактивировался в "скайнет". Поначалу я думал, что это какая-то бредятина (статьи подавались именно в журнализдско-бредовой стилистике). Потом появились более вменяемые. Например (на буржуйском). [ссылка, securelist.com] Или вот на русском, но менее подробно (и, по сути, ниочёмно). [ссылка, habrahabr.ru] Ниже я систематизировал всю информацию, которую нужно знать человеку, а не читателю непонятных статей.

  • Regin прежде всего интересовали коммуникационные и прочие важные компании. Дабы, понятное дело, шпионить (или даже получить контроль над системами). Порнокартинки на винчестере Васи Пупкина (как и обычно) нахрен вирусу не нужны. Впрочем, это не означает, что он не проникал на компьютеры Васей Пупкиных.
  • Чтобы проверить, есть/был ли у вас Regin, надо проверить наличие этих файлов в системной директории.
     
    %SYSTEMROOT%\system32\nsreg1.dat
    %SYSTEMROOT%\system32\bssec3.dat
    %SYSTEMROOT%\system32\msrdc64.dat
     
    У меня сиих файлов не оказалось. Впрочем, я и не ожидал их найти, т.к. мониторю систему на предмет несистемной хрени достаточно регулярно. Едва ли не машинально, подсознательно.
  • Regin не находился долгое время не столько из-за "суперхакерской феноменальной разработки", сколько из-за того, что не маячил на интерфейсном уровне. Не тормозил систему, не выводил перед глазами всякой ерунды - в общем, сидел себе тихо и не мешал. Не факт, что подобной фигни в ближайшее время не найдётся ещё.
  • Произошедшее - вполне обычная вещь в цомпутерном мире, и от этого становится ещё страшнее. Этот год вообще богат на выявление разного рода уязвимостей и утечек даже в, казалось бы, супер-стабильном софте. И всё это показывает, что весь цомпутерный мир еле как держится на зелёных соплях. И так будет дальше.

Напоследок, расскажу историю в тему. Я её уже рассказывал, ну так и ещё расскажу. В бытность работы у провайдера "Санта плюс" был вызов на квартиру, где "ничо ваще не работает". По приходе оказалось, что у человека на машине свёрнуты настройки winsock - не работал DNS, хотя по IP можно было пингануть любой адрес. Такая ситуация (как и все им подобные) легко лечится командой netsh winsock reset в консоли. Когда я обозначил человеку, что исправление будет стоить бабла, человек начал кричать о том, что он сисадмин в ЕТК. Доподлинно неизвестно, так ли это, но, полагаю, не верить ему не было причины. :) Мне не раз попадались "сисадмины", не знающие элементарных вещей. Regin, говорите? Да у любой конторы вдесятеро больше зверей найду. Такие дела.

 

Профессиональная компьютерная помощь в Красноярске

от автора статьи ;)

 

задайте вопрос по компьютерно-ИТшной теме и я напишу статью

быстрые ответы на вопросы здесь - обычно отвечаю в течение суток




 отправить 

 

©2014, Анатолий Савенков

комментариев: 5

просмотров:
723
глас народа:
+17 / -0
+зачёт    незачёт

голос будет учтён
в рейтинге

▶ Понравилось? Поддержи! ◀
 

 

Комментарии

 

1  Домовой
троллепатолог
25.11.2014 14:10
Гым. Спасибо, очень полезное обобщение. Должен быть именно "%SYSTEMROOT%system32msrdc64.dat"? У меня нашёлся "C:Windowssystem32msdrc.dll". Если его открыть с помощью "Ressource Hacker'a", вот чо пишут:

***
1 VERSIONINFO
FILEVERSION 6,1,7600,16385
PRODUCTVERSION 6,1,7600,16385
FILEOS 0x40004
FILETYPE 0x1
{
BLOCK "StringFileInfo"
{
BLOCK "040904B0"
{
VALUE "CompanyName", "Microsoft Corporation"
VALUE "FileDescription", "Remote Differential Compression COM server"
VALUE "FileVersion", "6.1.7600.16385 (win7_rtm.090713-1255)"
VALUE "InternalName", "msrdc.dll"
VALUE "LegalCopyright", "© Microsoft Corporation. All rights reserved."
VALUE "OriginalFilename", "msrdc.dll"
VALUE "ProductName", "Microsoft® Windows® Operating System"
VALUE "ProductVersion", "6.1.7600.16385"
}
}
BLOCK "VarFileInfo"
{
VALUE "Translation", 0x0409 0x04B0
***

Доктор, это нормально? :)
2  SaAnVi
tzar
25.11.2014 14:23
Вроде msrdc*, это с первой статьи копия. У меня, впрочем, и твоего файла нет. Но это легко объясняется - WinXP. :) А так, маскировка под названия системных файлов - обычное дело. То буквы переставят, то расширение левое.
3  Домовой
троллепатолог
25.11.2014 19:27
Попробовал поставил свою винду на виртуальную машину. Файл "msrdc.dll" присутствует. Лицензионная Windows 7 Professional 64 bit, диск выпущен в 2009 году. То бишь всё же это нормальный файл. Если только майкрософт не сотрудничает :)

ЗЫ. Анатолий, ты как именно систему мониторишь? Просто антивирусом? Или какими особенными приблудами располагаешь?
4  SaAnVi
tzar
25.11.2014 19:36
Да антивирь у меня простой - avast!, чисто от веб-говна защита. А если что в загрузку системы проникнет - мимо не пройдёт. Задницей почую. На крайняк - плагином Startup manager к FAR. Или промониторив места навроде HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.
5  JhaoDa
свой человек
25.11.2014 21:08
Вообще, msrdo*.* и msrdc*.* это компоненты MS RemoteData Object и RemoteData Control. Файлы эти могут быть типа *.ocx, *.oca, *.dll, *.dep, *.srg. А вот *.dat никаких быть не должно. И «64» в имени файлы быть не должно, потому как этим вещам столе в обед...

 

↑ к началу комментариев    ↑↑ к началу страницы

 

Вы не зарегистрированы. Зарегистрируйтесь или войдите в систему, чтобы не набирать каждый раз проверочный код (и иметь другие приятные функции на сайте). Действует суточный лимит анонимных комментариев для защиты от троллей, школоло-хакеров и спам-ботов. На текущий момент осталось комментариев: 10.

Добавить комментарий

* Ваше имя/ник:
E-mail:
* Комментарий:
(до 2048 символов)
введите две первые цифры из четырёх: 1171 

 

Фулюганствовать не надо: соблюдайте правила приличия. Я не люблю комментариев не по делу типа "Оццтой!" и им подобных. Если хотите что-то покритиковать или поучить кого-то жизни - делайте это с чувством, с толком и с расстановкой.

 

  

 

группа ВКонтакте Яндекс.Дзен Канал YouTube
 
Яндекс.Метрика Top.Mail.Ru
EC: 1776
новостя
26.03.2024
статья: Режима показов больше нет
15.03.2024
рецензия: Кентавр
09.03.2024
рецензия: Холоп 2
03.03.2024
банная: Хата азиата
22.02.2024
рецензия: Крушение
20.02.2024
статья: ASUS System Control Interface и иже с ними
07.02.2024
фотоприкол: Рыбалка
27.01.2024
фотоприкол: Простоквашино
23.01.2024
рецензия: Поехавшая
15.01.2024
статья: Firefox: пришла пора прощаться?
все новости ▶

 

популярЪ

1. статья: Режима показов больше нет

2. статья: Тёплый ламповый звук и сферический винил в вакууме

3. статья: Firefox: пришла пора прощаться?

4. статья: RUCELF UPI-400-12-EL: лучше, чем ничего

5. музыкальная пародия: Винда

6. статья: Отключение ненужных служб Windows

7. Хата азиата. Фото: NETDTHC.

8. музыкальная пародия: Стоят девчонки

9. рецензия: Крушение (Plane)

10. статья: ASUS System Control Interface и иже с ними

весь TOP ▶

 

крайние каменты

1. блог: Над ЖЖ нависла Ж?

2. блог: Новый почтовый развод

3. блог: ньюс, буря, коньки

4. блог: HDD, Зингельшухер, Крокус

5. статья: Режима показов больше нет

6. блог: Кинотеатрам всё-таки конец?

7. статья: Посудомойка не видит таблетированную соль

8. блог: падение, бар, bitcoin

9. блог: Искусственный интеллект, и почему он терпит поражение

10. блог: DNS: проверяем товары тщательней

 

на сайте
гости: 3

статистика за 10 минут

юзеры ▶
изображениезакрыть
dummy