SaAnVi.Ruпародиифотоприколыбаннаяполитотакомпотажитота вкладка меню  сцылкиблогдумырецензиипоржатьфотосеты ПОДДЕРЖАТЬ
^
Читаешь?
Интересно?
Поддержи.
SaAnVi.Ru
музыкальные приколы
фотоприколы / банная
политота / компота
житота / сцылки
блог / думы
рецензии на фильмы
тексты на поржать
фотосеты
Don't speak Russian?В избранноеПодписка РейтингАктивность Поддержать

последние запросы

Яндекс поискпоиск Яндекса по сайту

нафигатор
*Музыка
Приколы, пародии, переделкиПесенки-чудесенкиПриколы (прочее)Авторский инструменталАвторские песниМинусовки (HiFi)Минусовки (LoFi)Минусовки (избранное)СаундтрекиZX SpectrumMODsMIDIПранк
 
*Фото, рисунки
ПриколыБаннаяКарикатурыЖивотныеБелкиНасекомыеНебоЦветы, растенияПриродаКрасноярскРазноеФотосетыТрансляцииОбои (1280x1024)Обои (1680x1050)Обои (FullHD)СтокМоё
 
*Статьи
СмешноеРецензии на фильмыОбзорыЗвукСофт, комп, инетФотоСлова к песнямРецептыРазноеОчумелые ручкиЯндекс.ДиректФинансыИстории моей жизниДомостроениеОт других авторовПолитотаКомпотаЖитотаСцылкиВопросы по компьютеруВопросы по звуку
 
*Программы
Battle Ship DeLuxePut The BlockPrometeusNetZhopSpectrAnsDCAD
 
*Рингтоны
 
*Рейтинги
ОбщийМузыкаМинусовкиФотоСтатьиБлог
 
*Об авторе и сайте
АвторыЧаВоКонтактыБлогДумыАктивностьЮзерыКЖПСсылкиХостингКартаПоддержать сайт (0%)Горячие поклонники

 

блогЪ
одномоментные думы
последняя трансляция

23.06.2025 упгрейд, реформа, гуглплей

22.06.2025 Водительский ад

16.06.2025 масло, купалово, паранойя

15.06.2025 Интернет уже не тот

09.06.2025 гмыло, мангал, время

02.06.2025 личка, гудбайдипиай, ВК

26.05.2025 вояж, директ, мразота

19.05.2025 йандыкс, куаркоды, кросивое

17.05.2025 ВРПВ: хреновости, Экс-ББ

13.05.2025 "Курьер" и поколения

весь блог ▶
популярные посты ▶

 

подпишизь

RSS новостиНОВОСТИ
RSS комментарииКАМЕНТЫ
ТЕЛЕГАТЕЛЕГА

Вирус Regin: шо такое?

опубликовано:  25.11.2014  <весь блог>


Вчера мировая общественность была напугана статьёй про супер-вирус Regin, который стопицот лет не обнаруживался никакими антивирусами, стырил миллиарды терабайт данных и чуть ли не переактивировался в "скайнет". Поначалу я думал, что это какая-то бредятина (статьи подавались именно в журнализдско-бредовой стилистике). Потом появились более вменяемые. Например (на буржуйском). [ссылка, securelist.com] Или вот на русском, но менее подробно (и, по сути, ниочёмно). [ссылка, habrahabr.ru] Ниже я систематизировал всю информацию, которую нужно знать человеку, а не читателю непонятных статей.

  • Regin прежде всего интересовали коммуникационные и прочие важные компании. Дабы, понятное дело, шпионить (или даже получить контроль над системами). Порнокартинки на винчестере Васи Пупкина (как и обычно) нахрен вирусу не нужны. Впрочем, это не означает, что он не проникал на компьютеры Васей Пупкиных.
  • Чтобы проверить, есть/был ли у вас Regin, надо проверить наличие этих файлов в системной директории.
     
    %SYSTEMROOT%\system32\nsreg1.dat
    %SYSTEMROOT%\system32\bssec3.dat
    %SYSTEMROOT%\system32\msrdc64.dat
     
    У меня сиих файлов не оказалось. Впрочем, я и не ожидал их найти, т.к. мониторю систему на предмет несистемной хрени достаточно регулярно. Едва ли не машинально, подсознательно.
  • Regin не находился долгое время не столько из-за "суперхакерской феноменальной разработки", сколько из-за того, что не маячил на интерфейсном уровне. Не тормозил систему, не выводил перед глазами всякой ерунды - в общем, сидел себе тихо и не мешал. Не факт, что подобной фигни в ближайшее время не найдётся ещё.
  • Произошедшее - вполне обычная вещь в цомпутерном мире, и от этого становится ещё страшнее. Этот год вообще богат на выявление разного рода уязвимостей и утечек даже в, казалось бы, супер-стабильном софте. И всё это показывает, что весь цомпутерный мир еле как держится на зелёных соплях. И так будет дальше.

Напоследок, расскажу историю в тему. Я её уже рассказывал, ну так и ещё расскажу. В бытность работы у провайдера "Санта плюс" был вызов на квартиру, где "ничо ваще не работает". По приходе оказалось, что у человека на машине свёрнуты настройки winsock - не работал DNS, хотя по IP можно было пингануть любой адрес. Такая ситуация (как и все им подобные) легко лечится командой netsh winsock reset в консоли. Когда я обозначил человеку, что исправление будет стоить бабла, человек начал кричать о том, что он сисадмин в ЕТК. Доподлинно неизвестно, так ли это, но, полагаю, не верить ему не было причины. :) Мне не раз попадались "сисадмины", не знающие элементарных вещей. Regin, говорите? Да у любой конторы вдесятеро больше зверей найду. Такие дела.

 

Профессиональная компьютерная помощь в Красноярске

от автора статьи ;)

 

задайте вопрос по компьютерно-ИТшной теме и я напишу статью

быстрые ответы на вопросы здесь - обычно отвечаю в течение суток




 отправить 

 

©2014, Анатолий Савенков

комментариев: 5

просмотров:
753
глас народа:
+18 / -0
+зачёт    незачёт

голос будет учтён
в рейтинге

▶ Понравилось? Поддержи! ◀
 

 

Комментарии

 

1  Домовой
троллепатолог
25.11.2014 14:10
Гым. Спасибо, очень полезное обобщение. Должен быть именно "%SYSTEMROOT%system32msrdc64.dat"? У меня нашёлся "C:Windowssystem32msdrc.dll". Если его открыть с помощью "Ressource Hacker'a", вот чо пишут:

***
1 VERSIONINFO
FILEVERSION 6,1,7600,16385
PRODUCTVERSION 6,1,7600,16385
FILEOS 0x40004
FILETYPE 0x1
{
BLOCK "StringFileInfo"
{
BLOCK "040904B0"
{
VALUE "CompanyName", "Microsoft Corporation"
VALUE "FileDescription", "Remote Differential Compression COM server"
VALUE "FileVersion", "6.1.7600.16385 (win7_rtm.090713-1255)"
VALUE "InternalName", "msrdc.dll"
VALUE "LegalCopyright", "© Microsoft Corporation. All rights reserved."
VALUE "OriginalFilename", "msrdc.dll"
VALUE "ProductName", "Microsoft® Windows® Operating System"
VALUE "ProductVersion", "6.1.7600.16385"
}
}
BLOCK "VarFileInfo"
{
VALUE "Translation", 0x0409 0x04B0
***

Доктор, это нормально? :)
2  SaAnVi
tzar
25.11.2014 14:23
Вроде msrdc*, это с первой статьи копия. У меня, впрочем, и твоего файла нет. Но это легко объясняется - WinXP. :) А так, маскировка под названия системных файлов - обычное дело. То буквы переставят, то расширение левое.
3  Домовой
троллепатолог
25.11.2014 19:27
Попробовал поставил свою винду на виртуальную машину. Файл "msrdc.dll" присутствует. Лицензионная Windows 7 Professional 64 bit, диск выпущен в 2009 году. То бишь всё же это нормальный файл. Если только майкрософт не сотрудничает :)

ЗЫ. Анатолий, ты как именно систему мониторишь? Просто антивирусом? Или какими особенными приблудами располагаешь?
4  SaAnVi
tzar
25.11.2014 19:36
Да антивирь у меня простой - avast!, чисто от веб-говна защита. А если что в загрузку системы проникнет - мимо не пройдёт. Задницей почую. На крайняк - плагином Startup manager к FAR. Или промониторив места навроде HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.
5  JhaoDa
свой человек
25.11.2014 21:08
Вообще, msrdo*.* и msrdc*.* это компоненты MS RemoteData Object и RemoteData Control. Файлы эти могут быть типа *.ocx, *.oca, *.dll, *.dep, *.srg. А вот *.dat никаких быть не должно. И «64» в имени файлы быть не должно, потому как этим вещам столе в обед...

 

↑ к началу комментариев    ↑↑ к началу страницы

 

Вы не зарегистрированы. Зарегистрируйтесь или войдите в систему, чтобы не набирать каждый раз проверочный код (и иметь другие приятные функции на сайте). Действует суточный лимит анонимных комментариев для защиты от троллей, школоло-хакеров и спам-ботов. На текущий момент осталось комментариев: 10.

Добавить комментарий

* Ваше имя/ник:
E-mail:
* Комментарий:
(до 2048 символов)
введите две первые цифры из четырёх: 1545 

 

Фулюганствовать не надо: соблюдайте правила приличия. Я не люблю комментариев не по делу типа "Оццтой!" и им подобных. Если хотите что-то покритиковать или поучить кого-то жизни - делайте это с чувством, с толком и с расстановкой.

 

  

 

группа ВКонтакте Telegram Канал RuTube Яндекс.Дзен Канал YouTube
 
Яндекс.Метрика Top.Mail.Ru
EC: 1633
новостя
01.07.2025
статья: ИИ: революция с инволюционным уклоном
25.06.2025
рецензия: Кракен
19.06.2025
рецензия: Новичок
06.06.2025
банная: Круассаньё
02.06.2025
рецензия: Источник вечной молодости
20.05.2025
рецензия: Дроп
14.05.2025
рецензия: Царевна-лягушка
10.05.2025
ремикс: Садово-огородный рэп
07.05.2025
статья: SSD M.2: подвох, которого не ожидаешь
22.04.2025
статья: Компьютерные страшилки
все новости ▶

 

популярЪ

1. статья: ИИ: революция с инволюционным уклоном

2. статья: Тёплый ламповый звук и сферический винил в вакууме

3. статья: RUCELF UPI-400-12-EL: лучше, чем ничего

4. статья: Отключение ненужных служб Windows

5. рецензия: В эфире (On the line)

6. статья: Зачем автомобилю аккумулятор

7. фотосессия: Бурение скважины на воду

8. рецензия: Затерянные

9. музыкальная пародия: Комп налаживается

10. музыкальная пародия: Винда

весь TOP ▶

 

крайние каменты

1. статья: ИИ: революция с инволюционным уклоном

2. блог: упгрейд, реформа, гуглплей

3. блог: Водительский ад

4. блог: Новый почтовый развод

5. блог: Налоги в России выше, чем в Америке

6. блог: Унитазные страсти

7. рецензия: Кракен

8. блог: Искусственный интеллект, и почему он терпит поражение

9. блог: масло, купалово, паранойя

10. блог: Интернет уже не тот

 

на сайте
Садисто (1)

гости: 2

статистика за 10 минут

юзеры ▶
изображениезакрыть
dummy