[uanog] New virus attack

[Volodymyr Litovka]

Само в дальнейшем оно распространялось через другие дыры в винде, 
включая какое-то говно на 139/445 портах.

Насчёт "нужно багом считать" - хуяссе баг: "Along with the EDRPOU 
numbers, the backdoor collects proxy and email settings, including 
usernames and passwords, from the M.E.Doc application. [ ... ] the 
backdoored code sends the collected information in cookies." - там 
паходу ломанули еще и Web-cервер, который принимал в куках собранную 
информацию.


On 7/4/17 4:26 PM, Mike Petrusha wrote:
> Может это нужно багом считать в таком случае?
> Хотели конкретным жертвам диски зашифровать, но где-то промахнулись?
> Но ведь оно всё равно распространяется само в дальнейшем... Непонятно.
>
> --
> Mike
>
>
> On 4 July 2017 at 15:14, Volodymyr Litovka <doka.ua at gmail.com> wrote:
>> On 7/4/17 2:53 PM, Mike Petrusha wrote:
>>
>> Но зачем вся эта шпионская история с коллекционированием ЄДРПОУ?
>>
>>
>> Each organization that does business in Ukraine has a unique legal entity
>> identifier called the EDRPOU number. This is extremely important for the
>> attackers: having the EDRPOU number, they could identify the exact
>> organization that is now using the backdoored M.E.Doc. Once such an
>> organization is identified, attackers could then use various tactics against
>> the computer network of the organization, depending on the attackers’
>> goal(s). [ ... ] And, of course, the attackers added the ability to control
>> the infected machine.
>>
>> --
>> Volodymyr Litovka
>>    "Vision without Execution is Hallucination." -- Thomas Edison

-- 
Volodymyr Litovka
   "Vision without Execution is Hallucination." -- Thomas Edison

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mailman.uanog.kiev.ua/pipermail/uanog/attachments/20170704/3ecc6fd1/attachment.html>