Компьютерные вирусы!

А выкосило действительно катастрофически большое количество организаций. Все сейчас на ушах и в мыле. Интересное время. Проверка на прочность построенной инфраструктуры, взаимодействия всех служб и т.д. Бизнес понимает на что деньги давал. С другой стороны, не завидую тем айтишникам и безопасникам, у кого все легло.

Sysopaty писал(а):А выкосило действительно катастрофически большое количество организаций. Все сейчас на ушах и в мыле. Интересное время. Проверка на прочность построенной инфраструктуры, взаимодействия всех служб и т.д. Бизнес понимает на что деньги давал. С другой стороны, не завидую тем айтишникам и безопасникам, у кого все легло.

кстати может быть наоборот не давали. Я даже вангую, принеси счет в 1м$ за годовую поддержку и покажи директору в Укр канторе выкатит глаза и скажет не не нам это не надо хотя если честно от ОТП Банка не ожидал они вроде не економили , хотя за пару лет все могло изменится.

Такие пироги с котятами..

https://m.geektimes.ru/post/290779/

Надо заметить, что не только с Медком может быть такая лажа....

У меня на офисе МЕДОК второй день в отключке, после переустановки,
а вирус первой "волны""погрыз" все Вордовские файлы.... Жопа

Sysopaty писал(а):Такие пироги с котятами..

https://m.geektimes.ru/post/290779/

почитал внимательно и сравнил на своём подопытном пациенте-компе, о котором писал раньше. Докладываю:
Из статьи: "Файл зараженного модуля ZvitPublishedObjects.dll, написан на .NET Framework, он размером в 5 мегабайт, и содержит большое количество легального кода, который может быть вызван другими компонентами ПО" - ага, есть такой, поймался обновлённым антивирем ESET как "MSIL/TeleDoor.A троян". Троян выпилился, сам вылеченный файл ZvitPublishedObjects.dll остался. Медок запускается нормально, на попытку получить обновления пишет, что сервер обновлений недоступен (СБУшники его изъяли в рамках расследования, как пишут).

Дальше из статьи: "Также вредоносный код записывает собранную информацию в реестре Windows по адресу HKEY_CURRENT_USER\SOFTWARE\WC, используя имена ключей Cred и Prx." Ага, есть такой WC. Проверил на основном незараженном компе - нету такого в реестре. Стало быть, загаженный реестр WC - действительно признак трабла. В нём только в параметре Prx стоит значение "http://upd.me-doc.com.ua/last.ver" - и всё, больше ничего нет.

Тогда остаётся загадкой, почему подопытный мой комп не подох и не закриптовался... Можбыть, вирусняку не понравилась MBR диска, который тут SSD-формата, или процессор Xeon (у меня 4-ядерный 5462) что-то не даёт выполнять на низком уровне - х.з.

P.S. Пишу с этого подопытного компа.

Сэнсэй писал(а):Можбыть, вирусняку не понравилась MBR диска, который тут SSD-формата, или процессор Xeon (у меня 4-ядерный 5462) что-то не даёт выполнять на низком уровне - х.з.

Может у тебя там вообще GPT и UEFI?

levsha
Не, обычный AMI BIOS на мамке ASUS P5K. SSDдиск старичок INTEL SSDSA2BW160G3H, без GPT. Винда 10х64.

Сэнсэй писал(а):Тогда остаётся загадкой, почему подопытный мой комп не подох и не закриптовался...

А ставил демо версию медка? Или от нормального предприятия с настройками ? Может никому не интересно было валить комп с демо версией.
Или период, когда активировали трояна и забрасывали чего-то для вредоносных действий был раньше. А то что ты поставил не получило вовремя команду.

BIS
Версия Медка боевая, с настройками и ключами. Это, как бы, просто резервный полнофункциональный комп для резервного компа для основного компа (на случай ядерной войны )

BIS писал(а):Или период, когда активировали трояна и забрасывали чего-то для вредоносных действий был раньше. А то что ты поставил не получило вовремя команду.

Может быть и так. Я свой эксперимент проводил на несколько часов позже, чем началась паника, но в тот же день, 27-го.

Сэнсэй писал(а):Тогда остаётся загадкой, почему подопытный мой комп не подох и не закриптовался...

Это вопрос к авторам вируса
Мы можем только догадываться.

И, т.к. вирус одноразовый, то, скорее всего, активировались лишь те экземпляры, которые были готовы в момент поступления команды.

А что в статье не нравится-то?.. Что всему причиной Медок?
Так, твой же Есет нашёл бэкдор в библиотеке. Это, не "ну нашёл троян", это типа "бля, по моему компу ходило полмира и всё у меня тырило"

healix писал(а):А что в статье не нравится-то?.. Что всему причиной Медок?

Мне всё в статье нравится. Кто сказал, что не нравится?

healix писал(а):Так, твой же Есет нашёл бэкдор в библиотеке. Это, не "ну нашёл троян", это типа "бля, по моему компу ходило полмира и всё у меня тырило"

Эх, Серёга, невнимательный ты. Несколько страниц назад я писал, что на этом компе я запускал всё специально и сознательно, т.е., отрубив предварительно от всего, что можно стырить и куда можно пойти.

Та это понятно. Но, присутствие бэкдора в проге, которая передаёт всю налоговую отчётность страны... Это как добровольная публикация своих финансовых схем.

Тут же есть ещё один интересный момент... Многократный незарегистрированный несанкционированный доступ к исходникам этой проги.