^
SaAnVi.Ru музыкальные пародии / смешное
фотоприколы / банная / фотообои
мои минусовки: HiFi / LoFi
политота / компота / житота / сцылки
блог / думы
рецензии на фильмы
избранные минусовки
фотоотчёты
Don't speak Russian?В избранноеПодпискаРейтингАктивностьПоддержатьКЖП

последние запросы

Яндекс поискпоиск Яндекса по сайту

  
нафигатор
*Музыка
Приколы, пародии, ремиксыПесенки-чудесенкиПриколы (прочее)Авторский инструменталАвторские песниМинусовки (HiFi)Минусовки (LoFi)Минусовки (избранное)СаундтрекиZX SpectrumMIDI
 
*Фото, рисунки
ПриколыБаннаяКарикатурыЖивотныеБелкиНасекомыеНебоЦветы, растенияПриродаКрасноярскРазноеФотоотчётыТрансляцииОбои (1280x1024)Обои (1680x1050)Обои (FullHD)СтокМоё
 
*Чтиво
СмешноеРецензии на фильмыОбзорыЗвукСофт, комп, инетФотоСлова к песнямРецептыРазноеОчумелые ручкиФинансыИстории моей жизниОт других авторовПолитотаКомпотаЖитотаСцылки
 
*Программы
Battle Ship DeLuxePut The BlockPrometeusNetZhopSpectrAnsDCAD
 
*Рингтоны
 
*Рейтинги
ОбщийМузыкаМинусовкиФотоСтатьиБлог
 
*Об авторе и сайте
АвторыЧаВоКонтактыБлогДумыАктивностьЮзерыКЖПСсылкиХостингКартаПоддержать сайтГорячие поклонники

 

блогЪ
одномоментные думы
последняя трансляция

13.08.2018 МегаФОН: как я начал платить втрое больше "своими руками"

12.08.2018 ООО "Энергоучёт": очередной развод

06.08.2018 муляжи, кузнечик, бзден

03.08.2018 Вестник РОИ - 19

25.07.2018 Миша, ягоды

24.07.2018 Пенсияпатриоты

18.07.2018 ВРПВ: бензин, автомобиль, медовуха, BOFH

16.07.2018 музыка

07.07.2018 Яндекс индексирует документы Google Docs с паролями

03.07.2018 ВРПВ: вина, пенсия, список, ASIO, НДС

весь блог >>

 

подпишизь

RSS новости RSS комментарии
ВКонтакте Facebook Канал YouTube LiveJournal

 

щотчики
Рейтинг@Mail.ru
Яндекс.Метрика
EC: 1167

Вирус Regin: шо такое?

 

 

Вы попали на страницу личного блога не по ссылке с авторского сайта. Примите во внимание, что это мой персональный блог и я выражаю здесь свои мысли, с которыми у вас может наблюдаться несогласие. В случае крайнего несогласия, огромная просьба покинуть ресурс. Спасибо.

 

опубликовано:  25.11.2014  <весь блог>


Вчера мировая общественность была напугана статьёй про супер-вирус Regin, который стопицот лет не обнаруживался никакими антивирусами, стырил миллиарды терабайт данных и чуть ли не переактивировался в "скайнет". Поначалу я думал, что это какая-то бредятина (статьи подавались именно в журнализдско-бредовой стилистике). Потом появились более вменяемые. Например (на буржуйском). [ссылка, securelist.com] Или вот на русском, но менее подробно (и, по сути, ниочёмно). [ссылка, habrahabr.ru] Ниже я систематизировал всю информацию, которую нужно знать человеку, а не читателю непонятных статей.

  • Regin прежде всего интересовали коммуникационные и прочие важные компании. Дабы, понятное дело, шпионить (или даже получить контроль над системами). Порнокартинки на винчестере Васи Пупкина (как и обычно) нахрен вирусу не нужны. Впрочем, это не означает, что он не проникал на компьютеры Васей Пупкиных.
  • Чтобы проверить, есть/был ли у вас Regin, надо проверить наличие этих файлов в системной директории.
     
    %SYSTEMROOT%\system32\nsreg1.dat
    %SYSTEMROOT%\system32\bssec3.dat
    %SYSTEMROOT%\system32\msrdc64.dat
     
    У меня сиих файлов не оказалось. Впрочем, я и не ожидал их найти, т.к. мониторю систему на предмет несистемной хрени достаточно регулярно. Едва ли не машинально, подсознательно.
  • Regin не находился долгое время не столько из-за "суперхакерской феноменальной разработки", сколько из-за того, что не маячил на интерфейсном уровне. Не тормозил систему, не выводил перед глазами всякой ерунды - в общем, сидел себе тихо и не мешал. Не факт, что подобной фигни в ближайшее время не найдётся ещё.
  • Произошедшее - вполне обычная вещь в цомпутерном мире, и от этого становится ещё страшнее. Этот год вообще богат на выявление разного рода уязвимостей и утечек даже в, казалось бы, супер-стабильном софте. И всё это показывает, что весь цомпутерный мир еле как держится на зелёных соплях. И так будет дальше.

Напоследок, расскажу историю в тему. Я её уже рассказывал, ну так и ещё расскажу. В бытность работы у провайдера "Санта плюс" был вызов на квартиру, где "ничо ваще не работает". По приходе оказалось, что у человека на машине свёрнуты настройки winsock - не работал DNS, хотя по IP можно было пингануть любой адрес. Такая ситуация (как и все им подобные) легко лечится командой netsh winsock reset в консоли. Когда я обозначил человеку, что исправление будет стоить бабла, человек начал кричать о том, что он сисадмин в ЕТК. Доподлинно неизвестно, так ли это, но, полагаю, не верить ему не было причины. :) Мне не раз попадались "сисадмины", не знающие элементарных вещей. Regin, говорите? Да у любой конторы вдесятеро больше зверей найду. Такие дела.

 

©2014, Анатолий Савенков

комментариев: 5
dummy

просмотров:
637
глас народа:
+17 / -0
+зачёт    -незачёт

голос будет учтён
в рейтинге

 

 

Комментарии

 

1  Домовой   троллепатолог25.11.2014 14:10
Гым. Спасибо, очень полезное обобщение. Должен быть именно "%SYSTEMROOT%system32msrdc64.dat"? У меня нашёлся "C:Windowssystem32msdrc.dll". Если его открыть с помощью "Ressource Hacker'a", вот чо пишут:

***
1 VERSIONINFO
FILEVERSION 6,1,7600,16385
PRODUCTVERSION 6,1,7600,16385
FILEOS 0x40004
FILETYPE 0x1
{
BLOCK "StringFileInfo"
{
BLOCK "040904B0"
{
VALUE "CompanyName", "Microsoft Corporation"
VALUE "FileDescription", "Remote Differential Compression COM server"
VALUE "FileVersion", "6.1.7600.16385 (win7_rtm.090713-1255)"
VALUE "InternalName", "msrdc.dll"
VALUE "LegalCopyright", "© Microsoft Corporation. All rights reserved."
VALUE "OriginalFilename", "msrdc.dll"
VALUE "ProductName", "Microsoft® Windows® Operating System"
VALUE "ProductVersion", "6.1.7600.16385"
}
}
BLOCK "VarFileInfo"
{
VALUE "Translation", 0x0409 0x04B0
***

Доктор, это нормально? :)
2  SaAnVi   tzar25.11.2014 14:23
Вроде msrdc*, это с первой статьи копия. У меня, впрочем, и твоего файла нет. Но это легко объясняется - WinXP. :) А так, маскировка под названия системных файлов - обычное дело. То буквы переставят, то расширение левое.
3  Домовой   троллепатолог25.11.2014 19:27
Попробовал поставил свою винду на виртуальную машину. Файл "msrdc.dll" присутствует. Лицензионная Windows 7 Professional 64 bit, диск выпущен в 2009 году. То бишь всё же это нормальный файл. Если только майкрософт не сотрудничает :)

ЗЫ. Анатолий, ты как именно систему мониторишь? Просто антивирусом? Или какими особенными приблудами располагаешь?
4  SaAnVi   tzar25.11.2014 19:36
Да антивирь у меня простой - avast!, чисто от веб-говна защита. А если что в загрузку системы проникнет - мимо не пройдёт. Задницей почую. На крайняк - плагином Startup manager к FAR. Или промониторив места навроде HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.
5  JhaoDa   свой человек25.11.2014 21:08
Вообще, msrdo*.* и msrdc*.* это компоненты MS RemoteData Object и RemoteData Control. Файлы эти могут быть типа *.ocx, *.oca, *.dll, *.dep, *.srg. А вот *.dat никаких быть не должно. И «64» в имени файлы быть не должно, потому как этим вещам столе в обед...

 

↑ к началу комментариев    ↑↑ к началу страницы

 

Вы не зарегистрированы. Зарегистрируйтесь или войдите в систему, чтобы не набирать каждый раз проверочный код (и иметь другие приятные функции на сайте). Действует суточный лимит анонимных комментариев для защиты от троллей, школоло-хакеров и спам-ботов. На текущий момент осталось комментариев: 10.

Добавить комментарий

* Ваше имя/ник:
E-mail:
* Комментарий:
(до 1024 символов)
введите две первые цифры из четырёх: 5417 

 

Фулюганствовать не надо: соблюдайте правила приличия. Я не люблю комментариев не по делу типа "Оццтой!" и им подобных. Если хотите что-то покритиковать или поучить кого-то жизни - делайте это с чувством, с толком и с расстановкой.

 

  

 

новостя
07.08.2018
банная: пивушка
31.07.2018
статья: Герметик для дерева
29.07.2018
фотоприкол: Слава Китаю
21.07.2018
ZX music: Прекрасное далёко
20.07.2018
фотосет: Усть-Мана
15.07.2018
статья: Деление диска надвое: сакральный смысл
11.07.2018
фотоприкол: каратель
10.07.2018
статья: ZyXEL Keenetic: проблема с USB-модемами
06.07.2018
история: Аккумуляторы от ноутбуков
05.07.2018
банная: глобуэ
все новости >>

 

популярЪ

1. чтиво: Тёплый ламповый звук и сферический винил в вакууме

2. чтиво: Как я клиенту компьютер собирал

3. музыкальная пародия: Винда

4. чтиво: ZyXEL Keenetic: проблема с USB-модемами

5. фотосессия: Озеро-парк "Емельяновское" (Семирадское)

6. Слава Китаю. Фото: Kitya.

7. чтиво: Защита компрессора холодильника

8. музыкальная пародия: Барак Обама

9. Морковь "Каратель" (на деле, сорт называется "Каротель"). Фото: Elena-D.

10. чтиво: RUCELF UPI-400-12-EL: лучше, чем ничего

весь TOP >>

 

последния каменты

1. блог: МегаФОН: как я начал платить втрое больше "своими руками"

2. музыкальная пародия: Айфончик

3. блог: ООО "Энергоучёт": очередной развод

4. блог: муляжи, кузнечик, бзден

5. блог: Пенсияпатриоты

6. чтиво: Деление диска надвое: сакральный смысл

7. чтиво: Антивирусы на войне

8. блог: Миша, ягоды

9. Слава Китаю. Фото: Kitya.

10. Сто член, или не очень удачный шрифт

 

голо-сувание
Ваше текущее отношение к Олимпийским играм?
Голосовать или смотреть результаты на сайте KrasOpros.Ru
все опросы >>

 

сейчас на сайте
wasp (1)

гости: 6

статистика за 10 минут
юзеры >>
изображениезакрыть