Обновление 10.01.58

Інформація щодо випуску оновлень
Сообщение ValeryZ
ОТ: 17 июл 2015, 11:27
Сообщения: 257
Зарегистрирован: 15 май 2012, 15:36

Благодарил (а): 104 раз.
Поблагодарили: 108 раз.

alexmar писал(а):Мдяя, отака фігня, малята :evil: :evil:


Та не те слово.

До речі, ніхто не в курсі, з 1С-Звіт така ж кака була, чи їх оминула чаша ця?

Сообщение poltava_energy
ОТ: 17 июл 2015, 11:31
Сообщения: 232
Зарегистрирован: 13 июн 2012, 09:38
Откуда: Полтава
Благодарил (а): 12 раз.
Поблагодарили: 87 раз.

ValeryZ писал(а):Це розширеніша інформація ніж моє дослідження, у якому втім є заархівовані вихідні файли.
Я вашу тему читав, але додати до тої інформації мені нічого. Цей троян напряму нашу основну систему ніяк не зачепив, тому великої активності із мого боку і не було ;)
У мене є до вас прохання - бінарно порівняти мій UniCryptC.infected розміром 12800 та ваш ezvit.exe
Якщо моє припущення вірне, то різниця між ними має становити 1-2 байти.

Сообщение ValeryZ
ОТ: 17 июл 2015, 11:34
Сообщения: 257
Зарегистрирован: 15 май 2012, 15:36

Благодарил (а): 104 раз.
Поблагодарили: 108 раз.

poltava_energy писал(а):
ValeryZ писал(а):Це розширеніша інформація ніж моє дослідження, у якому втім є заархівовані вихідні файли.
Я вашу тему читав, але додати до тої інформації мені нічого. Цей троян напряму нашу основну систему ніяк не зачепив, тому великої активності із мого боку і не було ;)
У мене є до вас прохання - бінарно порівняти мій UniCryptC.infected розміром 12800 та ваш ezvit.exe
Якщо моє припущення вірне, то різниця між ними має становити 1-2 байти.


Добре.
Ось файл з бінарним порівнянням.
отличия.zip
(12.2 КБ) Скачиваний: 8


А ось розпаковані ресурси обох "хворих" файлів.
infected.ezvit.rar
(6.65 КБ) Скачиваний: 5

infected.UniCryptC.rar
(6.71 КБ) Скачиваний: 4


Відео порівняння секції .text обох файлів
compare.rar
(445.56 КБ) Скачиваний: 11


Сообщение Stanislav
ОТ: 17 июл 2015, 12:06
Сообщения: 472
Зарегистрирован: 24 фев 2014, 12:00

Благодарил (а): 503 раз.
Поблагодарили: 110 раз.

Тема изначально предназначенная для обсуждения 58-ого обновления плавно переросла в мануал "Как заразиться вирусом в домашних условиях"

Сообщение ValeryZ
ОТ: 17 июл 2015, 12:20
Сообщения: 257
Зарегистрирован: 15 май 2012, 15:36

Благодарил (а): 104 раз.
Поблагодарили: 108 раз.

Stanislav писал(а):Тема изначально предназначенная для обсуждения 58-ого обновления плавно переросла в мануал "Как заразиться вирусом в домашних условиях"


Я дуже ціную сарказм, чорний гумор і квашені огірки. Однак все це має бути доречним у конкретній, окремо взятій ситуації.

Сообщение ruda
ОТ: 17 июл 2015, 12:26
Сообщения: 67
Зарегистрирован: 25 фев 2015, 14:04

Благодарил (а): 22 раз.
Поблагодарили: 8 раз.

poltava_energy и ValeryZ проделали огромную работу по анализу файлов обновлений. Не удивлюсь, если даже после этого представители медка будут отстаивать свою версию происходящего.

Сообщение ValeryZ
ОТ: 17 июл 2015, 12:45
Сообщения: 257
Зарегистрирован: 15 май 2012, 15:36

Благодарил (а): 104 раз.
Поблагодарили: 108 раз.

Найбільше паскудство в тому, що на "той сайт" (93.170.77.174/medoc) могли піти як наші дані, так і наші сертифікати. А заодно, якщо вірус вмів перехоплювати клавіатуру - могли потрапити і паролі.

Система електронного документообігу, це в принципі "п'яте колесо до воза" в системі здачі звітності. Але для неуважного клієнта це просто бомба.

Приходить вам рахуночок з СЕД про те, що ви повинні заплатити стоп'ятсотмільйонів грошей на новий рахунок ТОВ "Спожавайдж", причому підписаний підписом бухгалтера, директора і святої печатки підприємства, амінь!

Дехто навіть перечислить. АГА??? Чому ж не довіряти електронним підписам бухгалтера, директора і святої печатки підприємства, амінь!

Сообщение poltava_energy
ОТ: 17 июл 2015, 14:53
Сообщения: 232
Зарегистрирован: 13 июн 2012, 09:38
Откуда: Полтава
Благодарил (а): 12 раз.
Поблагодарили: 87 раз.

ValeryZ писал(а):Відео порівняння секції .text обох файлів

Саме на цей результат я і сподівався.
От моя версія:
Код: Выделить всё
Сравнение файлов ezvit.infected и UniCryptC.infected
000000F0: 83 B8
000000F1: 84 6B
000000F2: 9F 9E
00000FB4: 31 44

Про 1 байт, що знаходиться за оффсетом 00000FB4 вже було згадано у цьому відео - це символи "1" та "D" (для того щоб формувати імя ezvi1 та UniCryptD)

А от інші три байти мене зацікавили більше...
За оффсетом 000000F0 у данному випадку знаходиться частина PE-заголовку і повністю ця частина є полем TimeDateStamp розміром 4 байти.
83 84 9F 55 для ezvit.infected
B8 6B 9E 55 для UniCryptC.infected

А тепер саме цікаве:
Time Date Stamp 559F8483 = 08:38:27UTC 10.07.2015 для ezvit.infected
Time Date Stamp 559E6BB8 = 12:40:24UTC 09.07.2015 для UniCryptC.infected

Сообщение alexmar
ОТ: 17 июл 2015, 15:02
Сообщения: 76
Зарегистрирован: 13 июн 2013, 18:51

Благодарил (а): 8 раз.
Поблагодарили: 11 раз.

Похоже Медок наконец-то разжился персональным вирусом :twisted:

Сообщение poltava_energy
ОТ: 17 июл 2015, 15:18
Сообщения: 232
Зарегистрирован: 13 июн 2012, 09:38
Откуда: Полтава
Благодарил (а): 12 раз.
Поблагодарили: 87 раз.

alexmar писал(а):Похоже Медок наконец-то разжился персональным вирусом

Схоже всередині Интеллект-Сервис завівся пацюк, який тягне компанію на дно :evil:

Сообщение ValeryZ
ОТ: 17 июл 2015, 16:31
Сообщения: 257
Зарегистрирован: 15 май 2012, 15:36

Благодарил (а): 104 раз.
Поблагодарили: 108 раз.

poltava_energy писал(а):А тепер саме цікаве:
Time Date Stamp 559F8483 = 08:38:27UTC 10.07.2015 для ezvit.infected
Time Date Stamp 559E6BB8 = 12:40:24UTC 09.07.2015 для UniCryptC.infected


Ситуація більш-менш зрозуміла.

От тільки не можу зрозуміти, чому IS на це відреагував так по дурному: "я не я і кака не моя".

Сообщение alexmar
ОТ: 17 июл 2015, 16:48
Сообщения: 76
Зарегистрирован: 13 июн 2013, 18:51

Благодарил (а): 8 раз.
Поблагодарили: 11 раз.

ValeryZ писал(а):
poltava_energy писал(а):От тільки не можу зрозуміти, чому IS на це відреагував так по дурному: "я не я і кака не моя".
Ну кака може і не його, проте діє цілеспрямовано проти його.

Сообщение wp2
ОТ: 17 июл 2015, 17:05
Сообщения: 89
Зарегистрирован: 23 янв 2015, 12:05
Откуда: Полтава
Благодарил (а): 1 раз.
Поблагодарили: 9 раз.

Внедрённый шпион конкурентов)))

Сообщение poltava_energy
ОТ: 20 июл 2015, 09:38
Сообщения: 232
Зарегистрирован: 13 июн 2012, 09:38
Откуда: Полтава
Благодарил (а): 12 раз.
Поблагодарили: 87 раз.

ValeryZ писал(а):
poltava_energy писал(а):А тепер саме цікаве:
Time Date Stamp 559F8483 = 08:38:27UTC 10.07.2015 для ezvit.infected
Time Date Stamp 559E6BB8 = 12:40:24UTC 09.07.2015 для UniCryptC.infected

Ситуація більш-менш зрозуміла.
Валерію ситуація зрозуміла, а для інших поясню детальніше.

12:40:24UTC - це час UTC, і для того щоб отримати місцевич час потрібно до нього додати часовий пояс (зараз для Країни із урахуванням літнього часу це UTC+3 години, але залежить від часової зони, що встановлена на конкретному ПК)
Тобто:
12:40:24UTC 09.07.2015 = 15:40:24 09.07.2015 для UniCryptC.infected
08:38:27UTC 10.07.2015 = 11:38:27 10.07.2015 для ezvit.infected

Моя версія хронології така:

09.07.2015 о 15:40:24 невідомою особою, яка мала доступ до формування пакетів оновлення, було підготовлено файл UniCryptC.exe який потім було включено до складу оновлення 058.
Зранку 10.07.2015 це оновлення із трояном у вигляді UniCryptC.exe та оригінальним криптоповайдером UniCryptD.exe було викладено на сайті для скачування. Деяка частина клієнтів його скачала (зокрема наша організація) і до обіду хтось встиг вже його поставити.

Перше повідомлення на сайті про помилки криптопровайдера:
ОТ: 10 июл 2015, 11:06
Добрый день! После обновления возникает ошибка "Помилка зчитування з файла" . Подскажите пожалуйста как исправить ситуацию?

І саме після цього повідомлення невідомою особою було прийняте рішення перенести троян із UniCryptC.exe до ezvit.exe
Але помилки із UniCryptC.exe продовжували сипатися і далі у тих хто скачав перший варіант.
ОТ: 10 июл 2015, 11:44
мало того, на станции сертификаты не загружаются не вручную,не через интернет+в процессах с каждой попыткой загрузить сертификаты появляется +1процесс Unicrypt.exe.

іще
ОТ: 10 июл 2015, 12:30
Заработало. проблема в антивирусе. завершил процесс UniCryptD.exe, заменил UniCryptD.exe на UniCryptC.exe в папке программы и все заработало.


Перше повідомлення на форумі про помилку саме ezvit.exe
ОТ: 10 июл 2015, 13:40
Изображение
А что делать с таким после обновления???

Далі свято продовжується
ОТ: 10 июл 2015, 13:50
В процессах ezvit остается висеть и на сервере (после закрытия окна ошибки) и на станциях.

Після цього повідомлення
ОТ: 10 июл 2015, 14:42
Еще в 58м почему-то ezvit.exe весит 12кб, а также появился ezvi1.exe с размером 2,5Мб. Время создания обоих файлов одинаковое = времени обновления. И запускаются они оба вначале (похоже что ezvi1 вызывает ezvit).

невідома особа розуміє, що механізм трояна не працює, запаковує і викладує на сайт оновлення без трояна.
Фініта :?

Сообщение ValeryZ
ОТ: 20 июл 2015, 09:57
Сообщения: 257
Зарегистрирован: 15 май 2012, 15:36

Благодарил (а): 104 раз.
Поблагодарили: 108 раз.

Доброго дня!
poltava_energy, дякую за ваше детальне викладення подій!
Про всяк випадок зробив https://archive.is/kkzk3.

Особливо примітною у процитованих Вами повідомленнях є фраза:
Заработало. проблема в антивирусе. завершил процесс UniCryptD.exe, заменил UniCryptD.exe на UniCryptC.exe в папке программы и все заработало.


Люди явно звикли більше довіряти медку, ніж антивірусам, тож приписують проблему саме антивірусній програмі.

Дуже шкода, що розробник сам сформував цю думку, рекомендуючи вимикати стеження за "медком", шляхом додавання його до списку виключень.

Сообщение Евгений Радзиевский
ОТ: 20 июл 2015, 10:10
Сообщения: 394
Зарегистрирован: 04 фев 2015, 11:54

Благодарил (а): 0 раз.
Поблагодарили: 186 раз.

poltava_energy, дякуємо за інформацію. Ситуація, що склалась, ретельно вивчається.

Сообщение poltava_energy
ОТ: 20 июл 2015, 10:11
Сообщения: 232
Зарегистрирован: 13 июн 2012, 09:38
Откуда: Полтава
Благодарил (а): 12 раз.
Поблагодарили: 87 раз.

ValeryZ писал(а):Люди явно звикли більше довіряти медку, ніж антивірусам...
Саме гірше у цій ситуації, що незрозуміло на якому рівні було прийняте рішення про включення трояна. І якщо це трапиться знову, то помилки будуть враховані і троян буде замаскований ретельніше.
Тобто, тепер для кожного оновлення (встановлення котрих і так було не дуже швидким) треба бути витрачати додатковий час та ресурси ще й на додаткове тестування та перевірку антивірусами.

Сообщение ValeryZ
ОТ: 20 июл 2015, 10:55
Сообщения: 257
Зарегистрирован: 15 май 2012, 15:36

Благодарил (а): 104 раз.
Поблагодарили: 108 раз.

poltava_energy писал(а):
ValeryZ писал(а):Люди явно звикли більше довіряти медку, ніж антивірусам...
Саме гірше у цій ситуації, що незрозуміло на якому рівні було прийняте рішення про включення трояна. І якщо це трапиться знову, то помилки будуть враховані і троян буде замаскований ретельніше.
Тобто, тепер для кожного оновлення (встановлення котрих і так було не дуже швидким) треба бути витрачати додатковий час та ресурси ще й на додаткове тестування та перевірку антивірусами.


Тепер у мене жодне з оновлень не пройде на встановлення без "розбирання на запчастини" у віртуальній машині з перевіркою на купі антивірусів.
Медку треба буде добре постаратися, щоб повернутися хоча б на той рівень поваги, який я мав до них перед ситуацією "Капець-58".
Але дійсно, якщо подібний троян це "не баг, а фіча", то тоді "ОЙ!".

Сообщение Verata
ОТ: 20 июл 2015, 11:47
Сообщения: 9
Зарегистрирован: 20 июл 2015, 11:17

Благодарил (а): 1 раз.
Поблагодарили: 1 раз.

Евгений Радзиевский писал(а):poltava_energy, дякуємо за інформацію. Ситуація, що склалась, ретельно вивчається.


Евгений, пожалуйста, когда вы изучите сложившуюся ситуацию, дайте правдивую информацию для обычных пользователей, может быть нам нужно предпринимать какие-то действия, если наши сертификаты могли попасть к третьим лицам.
Огромное спасибо poltava_energy и ValeryZ за анализ ситуации.
Я обычный пользователь. Скачиваю обновление с сайта разработчика и устанавливаю его сама.
Скачала 58 обновление 10 июля утром. Работала с программой. Все было вроде-бы в порядке. А в понедельник утром, при открытии программы m e doc, мой антивирус Д-р Web обнаружил и удалил вирус, после чего появилось сообщение об ошибке сертификатов.
Программу мне переустановили и восстановили из резервной копии, по рекомендации службы поддержки m e doc добавили в исключения антивируса.

Сообщение ValeryZ
ОТ: 20 июл 2015, 12:16
Сообщения: 257
Зарегистрирован: 15 май 2012, 15:36

Благодарил (а): 104 раз.
Поблагодарили: 108 раз.

Verata писал(а):по рекомендации службы поддержки m e doc добавили в исключения антивируса.

Медок теперь в исключениях? Не нужно так делать.
DrWeb, конечно, не самый быстрый антивирус, но зато отзывчивый. Служба поддержки обычно реагирует где-то в течение часа, если нужно добавить вирус в базы.
Если вы подозреваете что-то на вирусы - можете отправить им файл на проверку (до 10 MB). Ссылка на форму отправки. Причем серийник указывать не обязательно. Впрочем и основную почту тоже :)
По запросу будет сформирован уникальный тикет, и позже вас уведомят о результатах.
Если вы таки прислали уникальный вирус и хотите узнать, когда выпустят обновление антивирусных баз, то можете понаблюдать за процессом их формирования.

Пред.След.

Вернуться в Оновлення програми M.E.Doc

Кто сейчас на конференции

Сейчас этот форум просматривают: yuriygr25 и гости: 2