Comments 20
UFO landed and left these words here
Данные по закупкам это довольно интересная информация, и позволяет поставщикам выставлять цены чуть ниже чем у конкурентов, для разных аптек цены разные, скорее всего в данной ситуации поставщик ПО целенаправленно собирал данные и сливал заинтересованным поставщикам за спасибо.
UFO landed and left these words here
Кроме добавления в вирусные базы — какие-нибудь юридические последствия расследование имело?
Ну сколько можно уже про «Петю» писать, каждая 3-я статья про него. Статьи не совсем подходят для хабра. Идите на geektimes и там публикуйте свои расследования.
Дада, не мешайте профи обсуждать 100500й фреймворк! Скажите честно, зачем вы зашли сюда, потратили время, оставили этот коммент? Неужели чтобы послать на гиктаймс? У вас все нормально с душевным здоровьем? :)

Только вчера писал, что походу это начало новой вехи вирусов, когда они идут вместо с легального обновления. Дальше похоже будет хуже.


И да, кто туда добавил вирусы создатели программы или нет?

В статье по первой ссылке говориться, что в мед-софт зараза подсажена кем то из разработчиков (наличие валидной цифровой подписи какбэ намекает). Ну или как вариант — зараженные компы разработчиков, от чего в принципе тоже ни разу не легче.

Если там вообще есть подпись. И даже если есть, то сертификат для подписи мог храниться сразу на сервере. Нужно было вообще не давать файла запускать исполняемые.

Да. Но выкуп лучше вообще не платить никогда — во-первых, это поощрение преступления, во-вторых, далеко не факт, что злоумышленники справятся с расшифровкой. Ломать — не строить.
Украденная информация сливалась на зарубежные серверы. Dr Web не хакнул их и не размотал всю цепочку с установлением имени выгодополучателя?
Хакать нехорошо! Ну и всё такое. А вообще, уточню, можно ли это говорить.
UFO landed and left these words here
Интересный! Но не совсем к нам. Наше дело — передать информацию соответствующим организациям. А они уже дальше по ней работают.
Интересно, но с точки зрения уязвимости апдейтов, опенсорс оказывается в плюсе в итоге?
Чтобы было понятно, кто это и для чего,
скажу что компания Спарго является дочерней компанией самого крупного фармацевтического дистрибьютора, компании Протек.

2 раза находили у себя такой вирус, оба раза Dande2.
Действительно, вирус был только на тех машинах где стояла эприка.
Причем часть машин сломалась — перестала запускаться Windows, а остальные работали и не было проблем.
Похоже что троян работает выборочно. Все антивирусы кроме Dr.Web этот бэкдор не видят толком.
стоял лицензионный Касперский и только ругался на процесс в оперативной памяти.
никакие проверки Касперским результата не давали.
Проверили лечилкой Dr.Web Cureit, результат:
\Device\HarddiskDmVolumes\PhysicalDmVolumes\BlockVolume4\WINDOWS\system32\drivers\RpcSsPrt.sys — infected with BackDoor.Dande.2
\Device\HarddiskDmVolumes\PhysicalDmVolumes\BlockVolume4\WINDOWS\system32\drivers\RpcSsPrt.sys — infected
Process \Device\HarddiskDmVolumes\PhysicalDmVolumes\BlockVolume4\WINDOWS\explorer.exe:1008 — infected with BackDoor.Dande.2
Process \Device\HarddiskDmVolumes\PhysicalDmVolumes\BlockVolume4\WINDOWS\explorer.exe:1008 — neutralized
C:\WINDOWS\system32\drivers\RpcSsPrt.cfg — infected with BackDoor.Dande.2
C:\WINDOWS\system32\drivers\RpcSsPrt.cfg — infected
C:\WINDOWS\system32\drivers\RpcSsPrt.sys — infected with BackDoor.Dande.2
C:\WINDOWS\system32\drivers\RpcSsPrt.sys — infected


Если вы аптечное предприятие и есть эприка — высокая вероятность что с помощью Dr.Web Cureit найдете этот вирус.
Причем после чистки через какое-то время он может появиться снова. Выводы делайте сами.

Only those users with full accounts are able to leave comments. Log in, please.
Information
Founded

22 January 2004

Location

Россия

Employees

Unknown

Registered

9 August 2008

Habr blog