^
SaAnVi.Ru музыкальные пародии / смешное
фотоприколы / банная / фотообои
мои минусовки: HiFi / LoFi
политота / компота / житота / сцылки
блог / думы
рецензии на фильмы
избранные минусовки
фотоотчёты
Don't speak Russian?В избранноеПодпискаРейтингАктивностьПоддержатьКЖП

последние запросы

Яндекс поискпоиск Яндекса по сайту

  
нафигатор
*Главная
*Музыка
Приколы, пародии, ремиксыПесенки-чудесенкиПриколы (прочее)Авторский инструменталАвторские песниМинусовки (HiFi)Минусовки (LoFi)Минусовки (избранное)СаундтрекиZX SpectrumMIDI
*Фото, рисунки
ПриколыБаннаяКарикатурыЖивотныеБелкиНасекомыеНебоЦветы, растенияПриродаКрасноярскРазноеФотоотчётыТрансляцииОбои (1280x1024)Обои (1680x1050)Обои (FullHD)СтокМоё
*Чтиво
СмешноеРецензии на фильмыОбзорыЗвукСофт, комп, инетФотоСлова к песнямРецептыРазноеОчумелые ручкиФинансыИстории моей жизниОт других авторовПолитотаКомпотаЖитотаСцылки
*Программы
Battle Ship DeLuxePut The BlockPrometeusNetZhopSpectrAnsDCAD
*Рингтоны
*Рейтинги
ОбщийМузыкаМинусовкиФотоСтатьиБлог
*Об авторе и сайте
АвторыЧаВоКонтактыБлогДумыАктивностьЮзерыКЖПСсылкиХостингКартаПоддержать сайтГорячие поклонники

 

блогЪ
одномоментные думы
последняя трансляция

23.05.2018 Клиент всегда неправ

22.05.2018 объява, ХМ-11

18.05.2018 Вестник РОИ - 18

14.05.2018 унитаз, IT, взлом

11.05.2018 ВРПВ: голос, гитара, деды, форекс

07.05.2018 вопрос, Победа, разговор

30.04.2018 помпа, огурец, перец

24.04.2018 ВРПВ: закуска, себяшка, место

23.04.2018 бочка, Win7, Уральский

16.04.2018 вебка, убер, ТП

весь блог >>

 

подпишизь

RSS новости RSS комментарии
ВКонтакте Facebook Канал YouTube LiveJournal

 

щотчики
Рейтинг@Mail.ru
Яндекс.Метрика
EC: 762

Вирус Regin: шо такое?

 

 

Вы попали на страницу личного блога не по ссылке с авторского сайта. Примите во внимание, что это мой персональный блог и я выражаю здесь свои мысли, с которыми у вас может наблюдаться несогласие. В случае крайнего несогласия, огромная просьба покинуть ресурс. Спасибо.

 

опубликовано:  25.11.2014  <весь блог>


Вчера мировая общественность была напугана статьёй про супер-вирус Regin, который стопицот лет не обнаруживался никакими антивирусами, стырил миллиарды терабайт данных и чуть ли не переактивировался в "скайнет". Поначалу я думал, что это какая-то бредятина (статьи подавались именно в журнализдско-бредовой стилистике). Потом появились более вменяемые. Например (на буржуйском). [ссылка, securelist.com] Или вот на русском, но менее подробно (и, по сути, ниочёмно). [ссылка, habrahabr.ru] Ниже я систематизировал всю информацию, которую нужно знать человеку, а не читателю непонятных статей.

  • Regin прежде всего интересовали коммуникационные и прочие важные компании. Дабы, понятное дело, шпионить (или даже получить контроль над системами). Порнокартинки на винчестере Васи Пупкина (как и обычно) нахрен вирусу не нужны. Впрочем, это не означает, что он не проникал на компьютеры Васей Пупкиных.
  • Чтобы проверить, есть/был ли у вас Regin, надо проверить наличие этих файлов в системной директории.
     
    %SYSTEMROOT%\system32\nsreg1.dat
    %SYSTEMROOT%\system32\bssec3.dat
    %SYSTEMROOT%\system32\msrdc64.dat
     
    У меня сиих файлов не оказалось. Впрочем, я и не ожидал их найти, т.к. мониторю систему на предмет несистемной хрени достаточно регулярно. Едва ли не машинально, подсознательно.
  • Regin не находился долгое время не столько из-за "суперхакерской феноменальной разработки", сколько из-за того, что не маячил на интерфейсном уровне. Не тормозил систему, не выводил перед глазами всякой ерунды - в общем, сидел себе тихо и не мешал. Не факт, что подобной фигни в ближайшее время не найдётся ещё.
  • Произошедшее - вполне обычная вещь в цомпутерном мире, и от этого становится ещё страшнее. Этот год вообще богат на выявление разного рода уязвимостей и утечек даже в, казалось бы, супер-стабильном софте. И всё это показывает, что весь цомпутерный мир еле как держится на зелёных соплях. И так будет дальше.

Напоследок, расскажу историю в тему. Я её уже рассказывал, ну так и ещё расскажу. В бытность работы у провайдера "Санта плюс" был вызов на квартиру, где "ничо ваще не работает". По приходе оказалось, что у человека на машине свёрнуты настройки winsock - не работал DNS, хотя по IP можно было пингануть любой адрес. Такая ситуация (как и все им подобные) легко лечится командой netsh winsock reset в консоли. Когда я обозначил человеку, что исправление будет стоить бабла, человек начал кричать о том, что он сисадмин в ЕТК. Доподлинно неизвестно, так ли это, но, полагаю, не верить ему не было причины. :) Мне не раз попадались "сисадмины", не знающие элементарных вещей. Regin, говорите? Да у любой конторы вдесятеро больше зверей найду. Такие дела.

 

©2014, Анатолий Савенков

комментариев: 5
dummy

просмотров:
633
глас народа:
+17 / -0
+зачёт    -незачёт

голос будет учтён
в рейтинге

 

 

Комментарии

 

1  Домовой   троллепатолог25.11.2014 14:10
Гым. Спасибо, очень полезное обобщение. Должен быть именно "%SYSTEMROOT%system32msrdc64.dat"? У меня нашёлся "C:Windowssystem32msdrc.dll". Если его открыть с помощью "Ressource Hacker'a", вот чо пишут:

***
1 VERSIONINFO
FILEVERSION 6,1,7600,16385
PRODUCTVERSION 6,1,7600,16385
FILEOS 0x40004
FILETYPE 0x1
{
BLOCK "StringFileInfo"
{
BLOCK "040904B0"
{
VALUE "CompanyName", "Microsoft Corporation"
VALUE "FileDescription", "Remote Differential Compression COM server"
VALUE "FileVersion", "6.1.7600.16385 (win7_rtm.090713-1255)"
VALUE "InternalName", "msrdc.dll"
VALUE "LegalCopyright", "© Microsoft Corporation. All rights reserved."
VALUE "OriginalFilename", "msrdc.dll"
VALUE "ProductName", "Microsoft® Windows® Operating System"
VALUE "ProductVersion", "6.1.7600.16385"
}
}
BLOCK "VarFileInfo"
{
VALUE "Translation", 0x0409 0x04B0
***

Доктор, это нормально? :)
2  SaAnVi   tzar25.11.2014 14:23
Вроде msrdc*, это с первой статьи копия. У меня, впрочем, и твоего файла нет. Но это легко объясняется - WinXP. :) А так, маскировка под названия системных файлов - обычное дело. То буквы переставят, то расширение левое.
3  Домовой   троллепатолог25.11.2014 19:27
Попробовал поставил свою винду на виртуальную машину. Файл "msrdc.dll" присутствует. Лицензионная Windows 7 Professional 64 bit, диск выпущен в 2009 году. То бишь всё же это нормальный файл. Если только майкрософт не сотрудничает :)

ЗЫ. Анатолий, ты как именно систему мониторишь? Просто антивирусом? Или какими особенными приблудами располагаешь?
4  SaAnVi   tzar25.11.2014 19:36
Да антивирь у меня простой - avast!, чисто от веб-говна защита. А если что в загрузку системы проникнет - мимо не пройдёт. Задницей почую. На крайняк - плагином Startup manager к FAR. Или промониторив места навроде HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.
5  JhaoDa   свой человек25.11.2014 21:08
Вообще, msrdo*.* и msrdc*.* это компоненты MS RemoteData Object и RemoteData Control. Файлы эти могут быть типа *.ocx, *.oca, *.dll, *.dep, *.srg. А вот *.dat никаких быть не должно. И «64» в имени файлы быть не должно, потому как этим вещам столе в обед...

 

↑ к началу комментариев    ↑↑ к началу страницы

 

Вы не зарегистрированы. Зарегистрируйтесь или войдите в систему, чтобы не набирать каждый раз проверочный код (и иметь другие приятные функции на сайте). Действует суточный лимит анонимных комментариев для защиты от троллей, школоло-хакеров и спам-ботов. На текущий момент осталось комментариев: 10.

Добавить комментарий

* Ваше имя/ник:
E-mail:
* Комментарий:
(до 1024 символов)
введите две первые цифры из четырёх: 1273 

 

Фулюганствовать не надо: соблюдайте правила приличия. Я не люблю комментариев не по делу типа "Оццтой!" и им подобных. Если хотите что-то покритиковать или поучить кого-то жизни - делайте это с чувством, с толком и с расстановкой.

 

  

 

новостя
16.05.2018
фотоприкол: топлёная хозяюшка
14.05.2018
ZX music: Крылатые качели
08.05.2018
фотосет: Зарисовки 48
04.05.2018
история: Как я клиенту компьютер собирал
27.04.2018
фотоприкол: китовые фонтаны
19.04.2018
статья: Блокировка Telegram и его "ключи"
18.04.2018
ZX music: TetЯis 2 (in-game)
16.04.2018
песенка-чудесенка: Пенсия
11.04.2018
рассказ: Мидюшка
09.04.2018
фотоприкол: пир духа
все новости >>

 

популярЪ

1. чтиво: Как я клиенту компьютер собирал

2. чтиво: Тёплый ламповый звук и сферический винил в вакууме

3. чтиво: Блокировка Telegram и его "ключи"

4. музыкальная пародия: Винда

5. Топлёная хозяюшка. Фото: R666.

6. чтиво: RUCELF UPI-400-12-EL: лучше, чем ничего

7. музыкальная пародия: Барак Обама

8. фотосессия: Озеро-парк "Емельяновское" (Семирадское)

9. чтиво: Как удалить "Интернет Цензор" с паролем

10. чтиво: Отключение ненужных служб Windows

весь TOP >>

 

последния каменты

1. блог: объява, ХМ-11

2. блог: Клиент всегда неправ

3. музыкальная пародия: Айфончик

4. чтиво: Как я клиенту компьютер собирал

5. блог: унитаз, IT, взлом

6. блог: Вестник РОИ - 18

7. чтиво: Блокировка Telegram и его "ключи"

8. фото: Наша свадьба

9. музыкальная пародия: Пионеры

10. Китовые фонтаны не пускать. Фото: Kitya.

 

голо-сувание
Ваше текущее отношение к Олимпийским играм?
Голосовать или смотреть результаты на сайте KrasOpros.Ru
все опросы >>

 

сейчас на сайте
Kitya, SaAnVi (2)

гости: 6

статистика за 10 минут
юзеры >>
изображениезакрыть