Pull to refresh

Comments 13

Мы можем предположить, что некоторые из идентификаторов имеют особое значение. Например, строка идентификатора 2015telsmi может включать в себя аббревиатуру SMI (Средства Массовой Информации), 2015en может означать Energy (энергия), а kiev_o очевидное Kiev.

www.youtube.com/watch?v=RirqnBUQTEU
Жесть! Класс! Даёшь «кканировать на принтер» для межгалактической связи!)
Теперь я знаю что через наш принтер на работе постоянно пытаются связаться зеленые человеки! А я всё думаю — что за ерунда с ним происходит))
… хотя тот факт, что приоритетные объекты атаки таки медиафайлы, а «список таких идентификаторов» похож на список паролей, и наличие в них «kiev, stb и trk» — таки дает повод к размышлению.
kiev_o вполне может обозначать «Киевская область». т.е. троян пробивает внешний адрес по любой открытой GEO IP базе и уже дальше принимает решение, запускать нагрузку или нет. Сам такое делал в студенческие годы для ноута подруги. Написал трояна, который запустит в фулскрине открытку когда она вернётся домой. Когда она там будет не знал, но предположил что по IP можно будет определить область/город. Так и вышло.
А может убрать из заголовка указание на Украину, тем более что указание это вида «может означать».

А то такие выводы можно сделать, что «Маятник Фуко» детским лепетом покажется ))

P.S. Могу попенять авторам кода, что они строчку kremlin не встроили — то-то бы в СМИ началась такая шумиха, что без вируса ее было бы не погасить! )))
Я думаю, что предположения о таргетированной атаке строятся не только на идентификаторах билдов. Детект же идет и есть информация «с полей», я уверен.
Я бы сказал, что в посте ничего, кроме странной строчки, на Украину не указывает. Может, конечно, авторам поста что-то известно, но они это мужественно скрыли от нас с вами. По мне так это самая настоящая «джинса», ляпнуть без подтверждений. Поменяйте в заголовке «Украины» на (скажем) «Гренландии», и сами поймете.

Я также не понял, откуда столько «фактов»: название группы, сроки существования и пр., если нет упоминания даже ни об одном случае причинения вреда? Опять не рассказали, что знали, или это по «списку расширений» решили, что зловред охотится на журналистов, а по слову kiev — что на объекты энергетики? :) Кто написал, тоже как бы не указано, но фантазия, основанная на неподтвержденных «фактах» из поста, тут же услужливо подсказывает, что не иначе, как враги Украины — а кто это!?! Ой!

Помните: «Дрожание его левой икры есть великий признак!»? Давайте не будем, не приводя фактов, рассказывать страшные детективные истории.

Тогда как суть истории (без истерик) проста — «обнаружен еще один зловред. Судя по всему, охотится на медиафайлы, и имеет функции бэкдора. Нам он известен с 2013 года, мы умеем его детектить и убивать.»
То самое чувство бесхребетности на хабре, недавно обсуждаемой, для пользователей которые не могут голосовать даже за/против кооментариев… А так хочется.
Так вы напишите в комментарии что вам нравится/не нравится, а то совсем тут поехали все, только и думают тыкать плюс минус. Казалось бы вот тебе возможность выразить свое мнение в комментарии, но нет проще использовать комментарий чтобы пожаловаться что не дают анонимно заминусовать или заплюсовать. Мне именно это кажется странным.

А achekalin мне в личку написал, я конечно могу написать что и как, но боюсь многим не понравится. Тут такого не любят(на хабре). Если попросите скопировать мой ответ ему — скопирую.
/maincraft/

Тут сразу видно, что продукция отечественного производителя; не то, что Ransom32.
rsa-key-201311 — даже дату не соизволили поменять.
— Иван, вижу электростанцию!
— Дэдось, Иван!
Sign up to leave a comment.