^
SaAnVi.Ru 23 февраля музыкальные пародии / смешное
фотоприколы / банная / фотообои
мои минусовки: HiFi / LoFi
политота / компота / житота / сцылки
блог / думы
рецензии на фильмы
избранные минусовки
фотоотчёты
Don't speak Russian?В избранноеПодпискаРейтингАктивностьПоддержатьКЖП

последние запросы

Яндекс поискпоиск Яндекса по сайту

  
нафигатор
*Главная
*Музыка
Приколы, пародии, ремиксыПесенки-чудесенкиПриколы (прочее)Авторский инструменталАвторские песниМинусовки (HiFi)Минусовки (LoFi)Минусовки (избранное)СаундтрекиZX SpectrumMIDI
*Фото, рисунки
ПриколыБаннаяКарикатурыЖивотныеБелкиНасекомыеНебоЦветы, растенияПриродаКрасноярскРазноеФотоотчётыТрансляцииОбои (1280x1024)Обои (1680x1050)Обои (FullHD)СтокМоё
*Чтиво
СмешноеРецензии на фильмыОбзорыЗвукСофт, комп, инетФотоСлова к песнямРецептыРазноеОчумелые ручкиФинансыИстории моей жизниОт других авторовПолитотаКомпотаЖитотаСцылки
*Программы
Battle Ship DeLuxePut The BlockPrometeusNetZhopSpectrAnsDCAD
*Рингтоны
*Рейтинги
ОбщийМузыкаМинусовкиФотоСтатьиБлог
*Об авторе и сайте
АвторыЧаВоКонтактыБлогДумыАктивностьЮзерыКЖПСсылкиХостингКартаПоддержать сайт

 

блогЪ
одномоментные думы
последняя трансляция

22.02.2018 ВРПВ: кабак, движок, Олимпиада

19.02.2018 крестик, РСЯ, SPAM

16.02.2018 Мёртвые сайты

12.02.2018 bitcoin, кабачок, CSS

09.02.2018 ВРПВ: Собчак, пранкеры, Элвис, тренд

06.02.2018 Вред от сотовых телефонов II

05.02.2018 неуловимый, вацуп, гордость

29.01.2018 бабуля, сайт, мыслитель

24.01.2018 ВРПВ: Space, Жарр, Zodiac, Эхо Москвы, Соловьёв, выборы

22.01.2018 холод, роботы, реклама

весь блог >>

 

подпишизь

RSS новости RSS комментарии
LiveJournal ВКонтакте Facebook Канал YouTube

 

щотчики
Рейтинг@Mail.ru Яндекс.Метрика EC: 746

Вирус Regin: шо такое?

 

 

Вы попали на страницу личного блога не по ссылке с авторского сайта. Примите во внимание, что это мой персональный блог и я выражаю здесь свои мысли, с которыми у вас может наблюдаться несогласие. В случае крайнего несогласия, огромная просьба покинуть ресурс. Спасибо.

 

опубликовано:  25.11.2014  <весь блог>


Вчера мировая общественность была напугана статьёй про супер-вирус Regin, который стопицот лет не обнаруживался никакими антивирусами, стырил миллиарды терабайт данных и чуть ли не переактивировался в "скайнет". Поначалу я думал, что это какая-то бредятина (статьи подавались именно в журнализдско-бредовой стилистике). Потом появились более вменяемые. Например (на буржуйском). [ссылка, securelist.com] Или вот на русском, но менее подробно (и, по сути, ниочёмно). [ссылка, habrahabr.ru] Ниже я систематизировал всю информацию, которую нужно знать человеку, а не читателю непонятных статей.

  • Regin прежде всего интересовали коммуникационные и прочие важные компании. Дабы, понятное дело, шпионить (или даже получить контроль над системами). Порнокартинки на винчестере Васи Пупкина (как и обычно) нахрен вирусу не нужны. Впрочем, это не означает, что он не проникал на компьютеры Васей Пупкиных.
  • Чтобы проверить, есть/был ли у вас Regin, надо проверить наличие этих файлов в системной директории.
     
    %SYSTEMROOT%\system32\nsreg1.dat
    %SYSTEMROOT%\system32\bssec3.dat
    %SYSTEMROOT%\system32\msrdc64.dat
     
    У меня сиих файлов не оказалось. Впрочем, я и не ожидал их найти, т.к. мониторю систему на предмет несистемной хрени достаточно регулярно. Едва ли не машинально, подсознательно.
  • Regin не находился долгое время не столько из-за "суперхакерской феноменальной разработки", сколько из-за того, что не маячил на интерфейсном уровне. Не тормозил систему, не выводил перед глазами всякой ерунды - в общем, сидел себе тихо и не мешал. Не факт, что подобной фигни в ближайшее время не найдётся ещё.
  • Произошедшее - вполне обычная вещь в цомпутерном мире, и от этого становится ещё страшнее. Этот год вообще богат на выявление разного рода уязвимостей и утечек даже в, казалось бы, супер-стабильном софте. И всё это показывает, что весь цомпутерный мир еле как держится на зелёных соплях. И так будет дальше.

Напоследок, расскажу историю в тему. Я её уже рассказывал, ну так и ещё расскажу. В бытность работы у провайдера "Санта плюс" был вызов на квартиру, где "ничо ваще не работает". По приходе оказалось, что у человека на машине свёрнуты настройки winsock - не работал DNS, хотя по IP можно было пингануть любой адрес. Такая ситуация (как и все им подобные) легко лечится командой netsh winsock reset в консоли. Когда я обозначил человеку, что исправление будет стоить бабла, человек начал кричать о том, что он сисадмин в ЕТК. Доподлинно неизвестно, так ли это, но, полагаю, не верить ему не было причины. :) Мне не раз попадались "сисадмины", не знающие элементарных вещей. Regin, говорите? Да у любой конторы вдесятеро больше зверей найду. Такие дела.

 

©2014, Анатолий Савенков

комментариев: 5
dummy

просмотров:
626
глас народа:
+17 / -0
+зачёт    -незачёт

голос будет учтён
в рейтинге

 

 

 

Комментарии

 

1  Домовой   троллепатолог25.11.2014 14:10
Гым. Спасибо, очень полезное обобщение. Должен быть именно "%SYSTEMROOT%system32msrdc64.dat"? У меня нашёлся "C:Windowssystem32msdrc.dll". Если его открыть с помощью "Ressource Hacker'a", вот чо пишут:

***
1 VERSIONINFO
FILEVERSION 6,1,7600,16385
PRODUCTVERSION 6,1,7600,16385
FILEOS 0x40004
FILETYPE 0x1
{
BLOCK "StringFileInfo"
{
BLOCK "040904B0"
{
VALUE "CompanyName", "Microsoft Corporation"
VALUE "FileDescription", "Remote Differential Compression COM server"
VALUE "FileVersion", "6.1.7600.16385 (win7_rtm.090713-1255)"
VALUE "InternalName", "msrdc.dll"
VALUE "LegalCopyright", "© Microsoft Corporation. All rights reserved."
VALUE "OriginalFilename", "msrdc.dll"
VALUE "ProductName", "Microsoft® Windows® Operating System"
VALUE "ProductVersion", "6.1.7600.16385"
}
}
BLOCK "VarFileInfo"
{
VALUE "Translation", 0x0409 0x04B0
***

Доктор, это нормально? :)
2  SaAnVi   tzar25.11.2014 14:23
Вроде msrdc*, это с первой статьи копия. У меня, впрочем, и твоего файла нет. Но это легко объясняется - WinXP. :) А так, маскировка под названия системных файлов - обычное дело. То буквы переставят, то расширение левое.
3  Домовой   троллепатолог25.11.2014 19:27
Попробовал поставил свою винду на виртуальную машину. Файл "msrdc.dll" присутствует. Лицензионная Windows 7 Professional 64 bit, диск выпущен в 2009 году. То бишь всё же это нормальный файл. Если только майкрософт не сотрудничает :)

ЗЫ. Анатолий, ты как именно систему мониторишь? Просто антивирусом? Или какими особенными приблудами располагаешь?
4  SaAnVi   tzar25.11.2014 19:36
Да антивирь у меня простой - avast!, чисто от веб-говна защита. А если что в загрузку системы проникнет - мимо не пройдёт. Задницей почую. На крайняк - плагином Startup manager к FAR. Или промониторив места навроде HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.
5  JhaoDa   свой человек25.11.2014 21:08
Вообще, msrdo*.* и msrdc*.* это компоненты MS RemoteData Object и RemoteData Control. Файлы эти могут быть типа *.ocx, *.oca, *.dll, *.dep, *.srg. А вот *.dat никаких быть не должно. И «64» в имени файлы быть не должно, потому как этим вещам столе в обед...

 

↑ к началу комментариев    ↑↑ к началу страницы

 

Вы не зарегистрированы. Зарегистрируйтесь или войдите в систему, чтобы не набирать каждый раз проверочный код (и иметь другие приятные функции на сайте). Действует суточный лимит анонимных комментариев для защиты от троллей, школоло-хакеров и спам-ботов. На текущий момент осталось комментариев: 10.

Добавить комментарий

* Ваше имя/ник:
E-mail:
* Комментарий:
(до 1024 символов)
введите две первые цифры из четырёх: 1809 

 

Фулюганствовать не надо: соблюдайте правила приличия. Я не люблю комментариев не по делу типа "Оццтой!" и им подобных. Если хотите что-то покритиковать или поучить кого-то жизни - делайте это с чувством, с толком и с расстановкой.

 

  

 

 

новостя
20.02.2018
ZX music: Ramparts
13.02.2018
статья: Реанимация старого компьютера
04.02.2018
фотоприкол: так сколько, ёпта?
02.02.2018
ZX music: TetЯis 2 (menu)
31.01.2018
фотосет: Зарисовки 47
26.01.2018
музыкальная пародия: Посошок
22.01.2018
финансы: Разруливатель cmillion (Хлыстова): слив гарантирован
21.01.2018
фотоприкол: весёлая антенна
17.01.2018
банная: текнигуе
14.01.2018
фотоприкол: крик неудовлетворённой души
все новости >>

 

популярЪ

1. чтиво: Тёплый ламповый звук и сферический винил в вакууме

2. чтиво: Реанимация старого компьютера

3. музыкальная пародия: Винда

4. чтиво: RUCELF UPI-400-12-EL: лучше, чем ничего

5. музыкальная пародия: Барак Обама

6. Так сколько, ёпта? Фото: Kitya.

7. фотосессия: Озеро-парк "Емельяновское" (Семирадское)

8. чтиво: Как удалить "Интернет Цензор" с паролем

9. чтиво: Отключение ненужных служб Windows

10. Весёлая антенна. Фото: schmer.

весь TOP >>

 

последния каменты

1. блог: ВРПВ: кабак, движок, Олимпиада

2. блог: Жалоба в департамент транспорта г.Красноярска

3. блог: крестик, РСЯ, SPAM

4. музыкальная пародия: Купил биткоин я (18+)

5. блог: ВРПВ: Собчак, пранкеры, Элвис, тренд

6. чтиво: Реанимация старого компьютера

7. блог: Мёртвые сайты

8. музыкальная пародия: Spectrum

9. блог: неуловимый, вацуп, гордость

10. чтиво: Поговорим о криптографии

 

голо-сувание
Голосование "Президент 2018"
Голосовать или смотреть результаты на сайте KrasOpros.Ru
все опросы >>

 

сейчас на сайте
гости: 11

статистика за 10 минут
юзеры >>
изображениезакрыть