Обновление 10.01.58

Інформація щодо випуску оновлень
Сообщение poltava_energy
ОТ: 15 июл 2015, 15:03
Сообщения: 232
Зарегистрирован: 13 июн 2012, 09:38
Откуда: Полтава
Благодарил (а): 12 раз.
Поблагодарили: 86 раз.

ValeryZ писал(а):Если мне вышлют файл (первый выпуск 58-го обновления)

Сходив до наших адмінів, і вони допомогли мені викласти це оновлення на ехуа http://www.ex.ua/591698234848 (пароль такий же)

Але, нажаль, хочу засмутити пана Евгений Радзиевский - троян знаходиться всередині файла ezvit.10.01.057-10.01.058.exe.upd :( який аж ніяк не може бути інфіковано стороннім чином.

priup писал(а):Доказательства.........??????
Ви прям як товаріщь Loverow :twisted:
Скачайте той файлік та переконайтеся.

Сообщение priup
ОТ: 15 июл 2015, 15:07
Сообщения: 4021
Зарегистрирован: 22 июн 2011, 12:23

Благодарил (а): 1335 раз.
Поблагодарили: 1411 раз.

poltava_energy писал(а):
ValeryZ писал(а):Если мне вышлют файл (первый выпуск 58-го обновления)

Сходив до наших адмінів, і вони допомогли мені викласти це оновлення на ехуа http://www.ex.ua/591698234848 (пароль такий же)

Але, нажаль, хочу засмутити пана Евгений Радзиевский - троян знаходиться всередині файла ezvit.10.01.057-10.01.058.exe.upd :( який аж ніяк не може бути інфіковано стороннім чином.


Доказательства.........??????

Сообщение Колпаков Б.И.
ОТ: 15 июл 2015, 16:44
Сообщения: 7895
Зарегистрирован: 29 июл 2011, 14:59
Откуда: Украина, Донецкая область, Бахмут
Благодарил (а): 7430 раз.
Поблагодарили: 2317 раз.

poltava_energy
Какой у Вас антивирус на Сервере Медка?

Сообщение _Марина_
ОТ: 16 июл 2015, 08:01
Сообщения: 38
Зарегистрирован: 05 мар 2013, 12:28

Благодарил (а): 20 раз.
Поблагодарили: 4 раз.

вопрос немного не в тему.
в папке C:\Documents and Settings\All Users\Application Data\Medoc\Medoc\tmpl
имеется много файлов (15818 шт) общим размером около 500 МБ.
Можно ли их безбоязненно удалить? Папка как бы временная (tmpl)... :?:

Сообщение ValeryZ
ОТ: 16 июл 2015, 08:07
Сообщения: 257
Зарегистрирован: 15 май 2012, 15:36

Благодарил (а): 104 раз.
Поблагодарили: 108 раз.

_Марина_ писал(а):вопрос немного не в тему.
в папке C:\Documents and Settings\All Users\Application Data\Medoc\Medoc\tmpl
имеется много файлов (15818 шт) общим размером около 500 МБ.
Можно ли их безбоязненно удалить? Папка как бы временная (tmpl)... :?:


Это разработчик на буквах экономил.
tmpl - сокращение от template (шаблон).
Не удаляйте.
Временная (temporary) - temp.

Я уже где-то тут на эту тему возмущался, просил назвать папки по человечески, чтобы люди не путались.
Безрезультатно.

Сообщение СЕВАНЦ
ОТ: 16 июл 2015, 09:02
Сообщения: 3252
Зарегистрирован: 01 ноя 2011, 15:00
Откуда: Одесса
Благодарил (а): 354 раз.
Поблагодарили: 1211 раз.

ValeryZ писал(а):....Я уже где-то тут на эту тему возмущался, просил назвать папки по человечески, чтобы люди не путались. Безрезультатно.
viewtopic.php?p=131671#p131671

Сообщение Sim-Sim
ОТ: 16 июл 2015, 10:14
Сообщения: 17
Зарегистрирован: 10 июл 2014, 16:21

Благодарил (а): 1 раз.
Поблагодарили: 2 раз.

ValeryZ, для вас ще актуально 58-мі оновлення?
Вибачте, тільки сьогодні добралась знову до форуму.

Сообщение Колпаков Б.И.
ОТ: 16 июл 2015, 10:52
Сообщения: 7895
Зарегистрирован: 29 июл 2011, 14:59
Откуда: Украина, Донецкая область, Бахмут
Благодарил (а): 7430 раз.
Поблагодарили: 2317 раз.

_Марина_ писал(а):вопрос немного не в тему.
в папке C:\Documents and Settings\All Users\Application Data\Medoc\Medoc\tmpl
имеется много файлов (15818 шт) общим размером около 500 МБ.
Можно ли их безбоязненно удалить? Папка как бы временная (tmpl)... :?:

Переустановите программу с нового дистрибутива, количество файлов в этой папке уменьшиться.

Сообщение ValeryZ
ОТ: 16 июл 2015, 10:59
Сообщения: 257
Зарегистрирован: 15 май 2012, 15:36

Благодарил (а): 104 раз.
Поблагодарили: 108 раз.

Sim-Sim писал(а):ValeryZ, для вас ще актуально 58-мі оновлення?
Вибачте, тільки сьогодні добралась знову до форуму.

В принципі, цікаво було б подивитися.
Якщо можна, викладіть на якийсь обмінник типу ex.ua
Долучу до колекції. :)

Сообщение СЕВАНЦ
ОТ: 16 июл 2015, 11:52
Сообщения: 3252
Зарегистрирован: 01 ноя 2011, 15:00
Откуда: Одесса
Благодарил (а): 354 раз.
Поблагодарили: 1211 раз.

Колпаков Б.И. писал(а):...Переустановите программу с нового дистрибутива, количество файлов в этой папке уменьшиться.
А ещё лучше - дождитесь нового дистрибутива. Хочется надеяться, что вирусов в нём не будет.

Сообщение Ksenia-pn
ОТ: 16 июл 2015, 14:31
Сообщения: 170
Зарегистрирован: 03 июл 2014, 13:56

Благодарил (а): 11 раз.
Поблагодарили: 16 раз.

Здравствуйте.

При попытке принять квитанцию на удаленной машине появляется ошибка (см.ниже).
При открытии сначала висит, чего-то думает, потом еще думает, потом выдает окно с ошибкой.
Если открыть документ локально на сервере - все нормально открывается.
Медок сетевой, последняя версия. На задвоенные вирусные файлы проверили, чисто.

Помилка розбору інформаційної довідки:
DMF.Sink.Client.RetryException: Подключение не установлено, т.к. конечный компьютер отверг запрос на подключение 127.0.0.1:9996 ---> System.Net.Sockets.SocketException: Подключение не установлено, т.к. конечный компьютер отверг запрос на подключение 127.0.0.1:9996
at System.Net.Sockets.Socket.DoConnect(EndPoint endPointSnapshot, SocketAddress socketAddress)
at System.Net.Sockets.Socket.Connect(EndPoint remoteEP)
at System.Runtime.Remoting.Channels.RemoteConnection.CreateNewSocket(EndPoint ipEndPoint)
at System.Runtime.Remoting.Channels.RemoteConnection.CreateNewSocket()
at System.Runtime.Remoting.Channels.RemoteConnection.GetSocket()
at System.Runtime.Remoting.Channels.SocketCache.GetSocket(String machinePortAndSid, Boolean openNew)
at System.Runtime.Remoting.Channels.Tcp.TcpClientTransportSink.SendRequestWithRetry(IMessage msg, ITransportHeaders requestHeaders, Stream requestStream)
at System.Runtime.Remoting.Channels.Tcp.TcpClientTransportSink.ProcessMessage(IMessage msg, ITransportHeaders requestHeaders, Stream requestStream, ITransportHeaders& responseHeaders, Stream& responseStream)
at DMF.Sink.Client.ClientRetrySink.ProcessMessage(IMessage msg, ITransportHeaders requestHeaders, Stream requestStream, ITransportHeaders& responseHeaders, Stream& responseStream)
--- End of inner exception stack trace ---

Server stack trace:
at DMF.Sink.Client.ClientRetrySink.ProcessMessage(IMessage msg, ITransportHeaders requestHeaders, Stream requestStream, ITransportHeaders& responseHeaders, Stream& responseStream)
at System.Runtime.Remoting.Channels.BinaryClientFormatterSink.SyncProcessMessage(IMessage msg)

Exception rethrown at [0]:
at System.Runtime.Remoting.Proxies.RealProxy.HandleReturnMessage(IMessage reqMsg, IMessage retMsg)
at System.Runtime.Remoting.Proxies.RealProxy.PrivateInvoke(MessageData& msgData, Int32 type)
at System.IO.FileStream.Write(Byte[] array, Int32 offset, Int32 count)
at ZvitClientInterface.Client.DocImportUtils.ImportXmlDocument(String fileName, Byte[] file_body, Int64 org_code, Boolean update_sys_field, Boolean check_for_duplicate, ZDocNaklImpInfo nakl_imp_info, Int64 userID, DocMoveType moveType, Nullable`1 CardCode, Boolean isBackGround, Boolean recalcNN, Int64 IDParent, Boolean ignore_upd_sys_fld)
at ZvitGUI.Doc.GovKvtFilter.ProcessNaklAccessory(Byte[] xmlBuff, String filename, String& protErrors)
at ZvitGUI.Doc.GovKvtFilter.ProcessQLS(String fileName, Byte[] data, IMailReceivePrt mailProto, MailHeader header, ExchangeMsgWay exchangeWay)

P.S.
Медок на одной из клиентских машин очень долго грузится, на других компах такого вроде не наблюдается.
Связь з компом - прекрасная, скорость обмена с ней тоже в пределах нормы, как в лок. сети.

Сообщение Евгений Радзиевский
ОТ: 16 июл 2015, 15:17
Сообщения: 394
Зарегистрирован: 04 фев 2015, 11:54

Благодарил (а): 0 раз.
Поблагодарили: 186 раз.

Ksenia-pn, это стандартная ошибка разрыва соединения станции с сервером программы. Необходимо выполнить перезапуск службы и выполнить прием почты на сервере программы.

Сообщение wp2
ОТ: 16 июл 2015, 16:33
Сообщения: 89
Зарегистрирован: 23 янв 2015, 12:05
Откуда: Полтава
Благодарил (а): 1 раз.
Поблагодарили: 9 раз.

Если кому интересно.

На виртуальной машине установил дистрибутив 10.01.049 (установил как сетевую) и применил все патчи (в том числе 058,059 - сегодняшние, утренние 8:38 ).
Никаких ezvit1 не обнаружено. Nod32 Antivirus (trial, но всё свежее) при детальном сканировании ничего не обнаружил вообще на локальных дисках.

Сообщение Евгений Радзиевский
ОТ: 16 июл 2015, 16:39
Сообщения: 394
Зарегистрирован: 04 фев 2015, 11:54

Благодарил (а): 0 раз.
Поблагодарили: 186 раз.

Правильно, потому что в 058 обновлении вируса нет и не было.

Сообщение ValeryZ
ОТ: 16 июл 2015, 22:21
Сообщения: 257
Зарегистрирован: 15 май 2012, 15:36

Благодарил (а): 104 раз.
Поблагодарили: 108 раз.

Евгений Радзиевский писал(а):Правильно, потому что в 058 обновлении вируса нет и не было.


Полагаю, что останусь при своем мнении, пока разработчик не выложит анализ файлов патчей, отличающихся от "официального", и не даст пояснений, как можно заразить эти патчи, а также, какие приняты меры по устранению подобных заражений в будущем.

Прочел обновленный комментарий на сайте.
Там ничего, совершенно ничего не сказано, как быть тем, у кого вирус поражает не ezvit.exe, а подменяет UniCryptС.*, как было у poltava_energy.

Сообщение wp2
ОТ: 17 июл 2015, 08:42
Сообщения: 89
Зарегистрирован: 23 янв 2015, 12:05
Откуда: Полтава
Благодарил (а): 1 раз.
Поблагодарили: 9 раз.

Судя по официальному комментарию, это какой-то червь, который везде и всех должен быть, а не только у медоковцев.

Сообщение ValeryZ
ОТ: 17 июл 2015, 10:22
Сообщения: 257
Зарегистрирован: 15 май 2012, 15:36

Благодарил (а): 104 раз.
Поблагодарили: 108 раз.

wp2 писал(а):Судя по официальному комментарию, это какой-то червь, который везде и всех должен быть, а не только у медоковцев.

Тут такое фейхоа выходит...
Трояночервевирусомалварь, которая прицепилась к ezvit.exe и собою его подменила имеет внутри себя очень несложную структуру.
2015-07-17 10-07-14 Скриншот экрана.png
2015-07-17 10-07-14 Скриншот экрана.png (8.87 КБ) Просмотров: 1611

согласно которой видно, что троян строго специализированный и ориентированный на Медок.
Вот, распакованный вариант полностью. Архив не запаролен. Запускаться там нечему - он абсолютно безопасен.
ezvit_unpack.rar
"Разобранный" фальшивый ezvit.exe
(6.51 КБ) Скачиваний: 9


Сами видим, что этот "козьйол" должен был связываться с "93.170.77.174/medoc", который на данный момент не работает.

Второе, что можно заметить, в тексте вируса этот же адрес тоже имеется:
2015-07-17 10-18-07 Скриншот экрана.png
Адрес в теле "живого" вируса
2015-07-17 10-18-07 Скриншот экрана.png (7.99 КБ) Просмотров: 1611

Можно попробовать поискать его аналоги обычным поиском, например из totalcommander.

Сообщение poltava_energy
ОТ: 17 июл 2015, 10:42
Сообщения: 232
Зарегистрирован: 13 июн 2012, 09:38
Откуда: Полтава
Благодарил (а): 12 раз.
Поблагодарили: 86 раз.

Евгений Радзиевский писал(а):Правильно, потому что в 058 обновлении вируса нет и не было.

Ви стверджуєте що віруса у оновленні немає і ніколи не було.
Я стверджую, що троян у оновленні 058 був (хоча б у одній із інкарнацій).

Хтось із нас каже неправду...

Тобто ваше слово розробника проти мого слова простого користувача.

Тепер по порядку.

На нашому підприємстві за антивірусний захист відповідає комплексна система Kaspersky Endpoint Security 10 із регулярним оновленням антивірусних баз.
Крім цього, як на усіх великих підприємствах, вихід назовні регулюється файрволом, а доступ до інтернету додатково контролюється окремим проксі-сервером.
У нас неможливе проходження через проксі виконуваних та мультимедіа файлів із усіх сайтів, окрім тих які знаходяться у довіреному списку проксі та файрволла.
І от цей домен http://www.me-doc.com.ua/ftp/medoc/ якраз є у цьому списку. Тобто звідси є можливість скачати EXE, але цей EXE додатково перевіряється антивірусом.
Файл оновлення ezvit.10.01.057-10.01.058.exe перевірку каспером пройшов у обох випадках.

Оновлення у нас ставляться лише у ручному режимі.
Після виходу глючного на всю голову 056 оновлення, я не став його ставить на продуктивний сервер, тому що цим би паралізував обмін ПН на підприємстві.
057 оновлення не виправляло і половини виявлених помилок, і тому ми із нетерпінням чекали оновлення 058. І як тільки на сайті медка з’явилося оновлення 058 воно відразу було скачане.
Це був файл ezvit.10.01.057-10.01.058.exe розміром 15.294.740 байт.
Але я не став його ставить відразу, тому що спочатку хотів випробувати установку на тестовій системі, а після повідомлення у профільній темі про проблеми із UniCrypt вирішив ще додатково зачекати із встановленням.
Ближче до вечора із сайта медка було скачане ще одне оновлення 058.
Це був файл ezvit.10.01.057-10.01.058(1).exe вже розміром 15.190.940 байт.

Механізм оновлення у медка наступний.

Файл ezvit.10.01.057-10.01.058.exe складається із двох частин:
Перша частина (я називаю її check) це виконуваний код, який перевіряє наявність медка та цілісність архіву.
Друга частина - запаковані файли оновлення.

Після запуску патчу ezvit.10.01.057-10.01.058.exe проводиться вказана перевірка та у тимчасову папку кладеться архівна частина ezvit.10.01.057-10.01.058.exe.upd. Після цього запускається програма update.exe із каталогу медка із параметром у вигляді шляху до цього upd-файлу. А вже update.exe розпаковує файли оновлення у тимчасову папку та виконує скрипти оновлення.

Вміст інфікованого архіву ezvit.10.01.057-10.01.058.exe.upd наведено на скріншоті.
ezvit_058_15294740_filelist.png
ezvit_058_15294740_filelist.png (11.84 КБ) Просмотров: 1594

Видно, що у архіві оновлення є файл UniCryptC.exe розміром 12,5К із іконкою медка (шість-шість-шість) а також файл UniCryptD.exe, якого у комплекті безвірусної поставки немає, із стандартною іконкою у вигляді сертифікату.

Тобто, якби вірус прийшов із інтернету, як це стверджує Евгений Радзиевский, то цьому вірусу потрібно було:
1. ЗНАТИ структуру оновлення медка
2. УМІТИ розпаковувати та запаковувати архів оновлення
3. ЗНАТИ порядок визову виконавчих файлів медка, зокрема ЗНАТИ про існування UniCryptC.exe та про відсутність UniCryptD.exe
4. УМІТИ залізти на сервер оновлення медка http://www.me-doc.com.ua/ftp/medoc/Updates/ та підмінити справжній файл оновлення зараженим


Тепер проведу більш детальний аналіз файла UniCryptC.infected (колищній UniCryptC.exe) розміром 12800

1. Аналіз результатів онлайн-перевірки.
Для цього потрібно перейти на сторінку аналізу у вірустоталі
https://www.virustotal.com/en/file/79cd ... 436950243/
а потім перейти на закладку Behavioural information

Що нас тут турбує більше всього ?
Opened files
C:\WINDOWS\Registration\R000000000007.clb (successful)
\\.\PIPE\lsarpc (successful) - якщо хто не знає, lsarpc це Local Security Authority + Remote Procedure Call

Code injections in the following processes
79cd25a9eee92ea2f4470025c2cddb41066d37edcd97bc6d053ded2b9f4d7b0e (successful)
IEXPLORE.EXE (successful)

Runtime DLLs
rpcrt4.dll (successful) - а це сам інтерфейс RPC Runtime

HTTP requests
URL: http://93.170.77.174/medoc/register/

2. Глянемо що всередині цього підміненого UniCryptC
Можна просто продивитися цей файл як тест (я користуюся вбудованим переглядом у Far 2.0) Дивитися потрібно у другу частину файла, де починається текстова секція.
Але більш наглядний спосіб - скористатися онлайн-дізасемблером, наприклад http://www.onlinedisassembler.com

Завантажуємо туди файл та UniCryptC.infected та бачимо перелік текстових констант, от таких:
Код: Выделить всё
0x404008   Content-Type: application/x-www-form-urlencoded
це спосіб кодування при відправці даних на сервер
0x40403c   http://%s/%s/
0x40404c   register
це шаблон для http запиту, використовується із адресою що нижче
0x404068   /Q /C taskkill /IM "%s" /F & DEL /F /Q "%s"
це примусове зупинення процессу та видалення файлу без запиту
0x404094   ComSpec
0x40409c   93.170.77.174/medoc
0x4040b0   %ComSpec%
0x4040bc   /c %s
0x404120   %s\run.exe
0x40412c   93.170.77.174/medoc
0x404140   93.170.77.174/medoc
хост на який відправляються чи приймаються дані (чомусь зустрічається аж три рази, мабуть коли писали то дуже поспішали)


Про хост 93.170.77.174 вже згадували на четвертій сторінці теми про 058 оновлення.
Пул ip4 адрес 93.170.77.0-93.170.77.255 належить чеському провайдеру Альфателеком, який також надає послуги хостингу, а для того щоб визначить кому конкретно належить 93.170.77.174 то мабуть потрібно звертатися до провайдера (але хай цим краще займається СБУ).

На цьому ж IP 93.170.77.174 також розміщується домен fdkpq.com (зареєстрований 31 березня 2015 року, детальніше можна глянуть через whois).

Оскільки у цьому патчі разом із підміненим UniCryptC.exe є також і UniCryptD.exe (який і є оригінальним UniCryptC.exe) то припускаю, що логіка роботи цього механізму наступна:
- при шифруванні документа із медка викликається UniCryptC.exe, який передає/приймає якісь дані на 93.170.77.174/medoc, а потім викликає вже справжній криптопровайдер із UniCryptD.exe

Сообщение ValeryZ
ОТ: 17 июл 2015, 10:58
Сообщения: 257
Зарегистрирован: 15 май 2012, 15:36

Благодарил (а): 104 раз.
Поблагодарили: 108 раз.

poltava_energy писал(а):Тепер по порядку.


Дуже дякую. Це розширеніша інформація ніж моє дослідження, у якому втім є заархівовані вихідні файли.

poltava_energy писал(а):Тобто, якби вірус прийшов із інтернету, як це стверджує Евгений Радзиевский, то цьому вірусу потрібно було:
1. ЗНАТИ структуру оновлення медка
2. УМІТИ розпаковувати та запаковувати архів оновлення
3. ЗНАТИ порядок визову виконавчих файлів медка, зокрема ЗНАТИ про існування UniCryptC.exe та про відсутність UniCryptD.exe
4. УМІТИ залізти на сервер оновлення медка http://www.me-doc.com.ua/ftp/medoc/Updates/ та підмінити справжній файл оновлення зараженим


Ви описали "перше" оновлення, яке підміняло UniCryptC

Але ж було ще й "друге", яке підміняло ezvit.exe

"Для пам'яті"

UPD:
Я, по прикладу poltava_energy розпакував друге оновлення. Насолоджуємось...
2015-07-17 11-19-19 Скриншот экрана.png
Ой які ж хороші, медовії воші
2015-07-17 11-19-19 Скриншот экрана.png (48.91 КБ) Просмотров: 1556


Для пам'яті 2

Сообщение alexmar
ОТ: 17 июл 2015, 11:04
Сообщения: 76
Зарегистрирован: 13 июн 2013, 18:51

Благодарил (а): 8 раз.
Поблагодарили: 11 раз.

Мдяя, отака фігня, малята :evil: :evil:

Пред.След.

Вернуться в Оновлення програми M.E.Doc

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1