"Лаборатория Касперского" обнаружила уникальную американскую программу кибершпионажа

Алекс

unread,

Feb 17, 2015, 1:36:42 AM2/17/15

to

"Лаборатория Касперского" обнаружила уникальную американскую программу
кибершпионажа

время публикации: 09:17

Сотрудники "Лаборатории Касперского" обнаружили уникальную программу,
позволяющую встраивать шпионское программное обеспечение (ПО) в жесткие
диски Seagate, Western Digital, Toshiba и других ведущих производителей,
сообщает агентство Reuters. При помощи этой программы можно получать
доступ к информации на большинстве компьютеров в мире.

Расследование указывает на связь хакеров с Агентством национальной
безопасности (АНБ) США. По словам представителей "Лаборатории
Касперского", шпионская кампания также имеет отношение к скандальному
совместному проекту США и Израиля Stuxnet.

По данным экспертов Kaspersky Lab, зараженные вредоносным ПО компьютеры
были обнаружены в 30 странах мира - больше всего в Иране, затем следуют
Россия, Пакистан, Афганистан, Китай, Мали, Сирия, Йемен, Алжир. Целями
хакеров были правительственные и военные учреждения,
телекоммуникационные компании, банки, энергетические компании,
специалисты, связанные с ядерными исследованиями, представители СМИ и
исламские активисты.

Бывший сотрудник АНБ заявил Reuters, что обнародованные "Лабораторией
Касперского" сведения соответствуют действительности. По его словам,
представители спецслужб оценивают эти шпионские программы так же высоко,
как Stuxnet. Другой экс-сотрудник разведки подтвердил агентству, что АНБ
разработало технику сокрытия шпионских программ в жестких дисках, однако
отметил, что не знает, какие задачи им отводились. По данным
"Лаборатории Касперского", некоторые шпионские программы были созданы
еще в 2001 году.

По мнению экспертов, расследование может нанести еще более
сокрушительный ущерб имиджу АНБ, и так серьезно пострадавшему от
массовых утечек, связанных с бывшим сотрудником американских спецслужб
Эдвардом Сноуденом. Из-за откровений Сноудена продажи американской
высокотехнологичной продукции за рубежом уже значительно снизились.
Сообщения о новых инструментах кибершпионажа может привести к резкой
реакции, особенно в таких странах, как Китай.

В понедельник "Лаборатория Касперского" опубликовала технические
подробности своего исследования. По данным специалистов, создатели
вредоносного ПО совершили настоящий технологический прорыв, разработав
модули, способные перепрограммировать заводскую прошивку жестких дисков.
В итоге злоумышленники имеют возможность контролировать компьютер даже в
случае форматирования диска или переустановки операционной системы.

Исследователи установили, что шпионское ПО может встраиваться в жесткие
диски более десятка ведущих производителей, охватывающих по сути весь
компьютерный рынок, - Western Digital Corp, Seagate Technology PLC,
Toshiba Corp, IBM, Micron Technology Inc и Samsung Electronics Co Ltd.

Компании Western Digital, Seagate и Micron заявили Reuters, что ничего
не знают о шпионских модулях, речь о которых идет в исследовании
"Лаборатории Касперского". Toshiba и Samsung отказались комментировать
полученные данные.

Хотя хакеры могли заразить тысячи компьютеров, они были избирательны и
лишь установили полный удаленный контроль над машинами, принадлежащими
наиболее ценным иностранным объектам слежки, сообщил глава отдела по
глобальным исследованиям и анализу Kaspersky Lab Костин Райю.

Напомним, обнаруженный в 2010 году компьютерный червь Stuxnet поражал
компьютеры с операционной системой Microsoft Windows. Вирус был
обнаружен как на компьютерах рядовых пользователей, но и в промышленных
системах. Сообщалось, что червь может быть использован в качестве
средства шпионажа и диверсий в АСУ ТП промышленных предприятий,
электростанций, аэропортов и других важных объектов. По мнению
экспертов, Stuxnet разработали совместно спецслужбы Израиля и США, червь
был направлен против ядерной программы Ирана.

В минувшее воскресенье "Лаборатория Касперского" сообщила о еще одном
раскрытом ее сотрудниками грандиозном киберпреступлении - банковской
афере. Сообщалось, что жертвами аферистов стали более сотни банков,
преимущественно из России, а ущерб оценивался в сумму от 300 млн до 1
млрд долларов.

Soga

unread,

Feb 17, 2015, 1:56:04 AM2/17/15

to

Можно ссылку на первоисточник?

"Алекс" сообщил(а) в новостях следующее:mbunhl$fjt$1...@news.tlt.ru...

Sistor

unread,

Feb 17, 2015, 2:23:42 AM2/17/15

to

"Алекс" <pen...@ozone.ru> wrote in message news:mbunhl$fjt$1...@news.tlt.ru...

> "Лаборатория Касперского" обнаружила уникальную американскую программу
> кибершпионажа

касперскому кто-то еще доверяет???

Urban_Hero

unread,

Feb 17, 2015, 2:27:58 AM2/17/15

to

2015-02-17 09:56, Soga пишет:
> Можно ссылку на первоисточник?
>

рейтерс

на сайте каспера вроде нет ничего похожего

можешь про BIOS пока почитать:
https://securelist.ru/analysis/obzor/19169/ugroza-iz-bios/

Андрей

unread,

Feb 17, 2015, 2:50:22 AM2/17/15

to

17.02.2015 11:23, Sistor пишет:
> касперскому кто-то еще доверяет???

почему нет?

Urban_Hero

unread,

Feb 17, 2015, 2:50:56 AM2/17/15

to

2015-02-17 09:56, Soga пишет:
> Можно ссылку на первоисточник?
>

на английском языке, компания-то 0мериканская:

https://securelist.com/blog/research/68750/equation-the-death-star-of-malware-galaxy/

https://securelist.com/files/2015/02/Equation_group_questions_and_answers.pdf

Equation: The Death Star of Malware Galaxy
By GReAT on February 16, 2015. 6:55 pm

Kaspersky Labs' Global Research & Analysis Team
@e_kaspersky/great

Download "Equation group: questions and answers" PDF
"Houston, we have a problem"

One sunny day in 2009, Grzegorz Brzęczyszczykiewicz1 embarked on a
flight to the burgeoning city of Houston to attend a prestigious
international scientific conference. As a leading scientist in his
field, such trips were common for Grzegorz. Over the next couple of
days, Mr Brzęczyszczykiewicz exchanged business cards with other
researchers and talked about the kind of important issues such high
level scientists would discuss (which is another way of saying "who
knows?"). But, all good things must come to an end; the conference
finished and Grzegorz Brzęczyszczykiewicz flew back home, carrying with
him many highlights from a memorable event. Sometime later, as is
customary for such events, the organizers sent all the participants a
CDROM carrying many beautiful pictures from the conference. As Grzegorz
put the CDROM in his computer and the slideshow opened, he little
suspected he had just became the victim of an almost omnipotent
cyberespionage organization that had just infected his computer through
the use of three exploits, two of them being zero-days.
A rendezvous with the "God" of cyberespionage

It is not known when the Equation2 group began their ascent. Some of the
earliest malware samples we have seen were compiled in 2002; however,
their C&C was registered in August 2001. Other C&Cs used by the Equation
group appear to have been registered as early as 1996, which could
indicate this group has been active for almost two decades. For many
years they have interacted with other powerful groups, such as the
Stuxnet and Flame groups; always from a position of superiority, as they
had access to exploits earlier than the others.

The #EquationAPT group is probably one of the most sophisticated cyber
attack groups in the world #TheSAS2015
Tweet

Since 2001, the Equation group has been busy infecting thousands, or
perhaps even tens of thousands of victims throughout the world, in the
following sectors:
Government and diplomatic institutions
Telecoms
Aerospace
Energy
Nuclear research
Oil and gas
Military
Nanotechnology
Islamic activists and scholars
Mass media
Transportation
Financial institutions
Companies developing encryption technologies

To infect their victims, the Equation group uses a powerful arsenal of
"implants" (as they call their Trojans), including the following we have
created names for: EQUATIONLASER, EQUATIONDRUG, DOUBLEFANTASY,
TRIPLEFANTASY, FANNY and GRAYFISH. No doubt other "implants" exist which
we have yet to identify and name.

The #EquationAPT group interacted with other powerful groups, such as
the #Stuxnet and #Flame groups #TheSAS2015
Tweet

The group itself has many codenames for their tools and implants,
including SKYHOOKCHOW, UR, KS, SF, STEALTHFIGHTER, DRINKPARSLEY,
STRAITACID, LUTEUSOBSTOS, STRAITSHOOTER, DESERTWINTER and GROK.
Incredible as it may seem for such an elite group, one of the developers
made the unforgivable mistake of leaving his username: "RMGREE5", in
one of the malware samples as part of his working folder:
"c:\users\rmgree5\".

Perhaps the most powerful tool in the Equation group's arsenal is a
mysterious module known only by a cryptic name: "nls_933w.dll". It
allows them to reprogram the hard drive firmware of over a dozen
different hard drive brands, including Seagate, Western Digital,
Toshiba, Maxtor and IBM. This is an astonishing technical accomplishment
and is testament to the group's abilities.

Over the past years, the Equation group has performed many different
attacks. One stands out: the Fanny worm. Presumably compiled in July
2008, it was first observed and blocked by our systems in December 2008.
Fanny used two zero-day exploits, which were later uncovered during the
discovery of Stuxnet. To spread, it used the Stuxnet LNK exploit and USB
sticks. For escalation of privilege, Fanny used a vulnerability patched
by the Microsoft bulletin MS09-025, which was also used in one of the
early versions of Stuxnet from 2009.

LNK exploit as used by Fanny

It's important to point out that these two exploits were used in Fanny
before they were integrated into Stuxnet, indicating that the Equation
group had access to these zero-days before the Stuxnet group. The main
purpose of Fanny was the mapping of air-gapped networks. For this, it
used a unique USB-based command and control mechanism which allowed the
attackers to pass data back and forth from air-gapped networks.

Two zero-day exploits were used by the #EquationAPT group before they
were integrated into #Stuxnet #TheSAS2015
Tweet

In the coming days, we will publish more details about the Equation
group malware and their attacks. The first document to be published will
be a general FAQ on the group together with indicators of compromise.

By publishing this information, we hope to bring it to the attention of
the ITSec community as well as independent researchers, who can extend
the understanding of these attacks. The more we investigate such
cyberespionage operations, we more we understand how little we actually
know about them. Together, we can lift this veil and work towards a more
secure (cyber-)world.

Download "Equation group: questions and answers" PDF
Indicators of compromise ("one of each"):
Name EquationLaser
MD5 752af597e6d9fd70396accc0b9013dbe
Type EquationLaser installer
Compiled Mon Oct 18 15:24:05 2004

Name Disk from Houston "autorun.exe" with EoP exploits
MD5 6fe6c03b938580ebf9b82f3b9cd4c4aa
Type EoP package and malware launcher
Compiled Wed Dec 23 15:37:33 2009

Name DoubleFantasy
MD5 2a12630ff976ba0994143ca93fecd17f
Type DoubleFantasy installer
Compiled Fri Apr 30 01:03:53 2010

Name EquationDrug
MD5 4556ce5eb007af1de5bd3b457f0b216d
Type EquationDrug installer ("LUTEUSOBSTOS")
Compiled Tue Dec 11 20:47:12 2007

Name GrayFish
MD5 9b1ca66aab784dc5f1dfe635d8f8a904
Type GrayFish installer
Compiled Compiled: Fri Feb 01 22:15:21 2008 (installer)

Name Fanny
MD5 0a209ac0de4ac033f31d6ba9191a8f7a
Type Fanny worm
Compiled Mon Jul 28 11:11:35 2008

Name TripleFantasy
MD5 9180d5affe1e5df0717d7385e7f54386 loader (17920 bytes .DLL)
Type ba39212c5b58b97bfc9f5bc431170827 encrypted payload (.DAT)
Compiled various, possibly fake

Name _SD_IP_CF.dll - unknown
MD5 03718676311de33dd0b8f4f18cffd488
Type DoubleFantasy installer + LNK exploit package
Compiled Fri Feb 13 10:50:23 2009

Name nls_933w.dll
MD5 11fb08b9126cdb4668b3f5135cf7a6c5
Type HDD reprogramming module
Compiled Tue Jun 15 20:23:37 2010

Name standalonegrok_2.1.1.1 / GROK
MD5 24a6ec8ebf9c0867ed1c097f4a653b8d
Type GROK keylogger
Compiled Tue Aug 09 03:26:22 2011

C&C servers (hostnames and IPs):
DoubleFantasy:
advancing-technology[.]com
avidnewssource[.]com
businessdealsblog[.]com
businessedgeadvance[.]com
charging-technology[.]com
computertechanalysis[.]com
config.getmyip[.]com - SINKHOLED BY KASPERSKY LAB
globalnetworkanalys[.]com
melding-technology[.]com
myhousetechnews[.]com - SINKHOLED BY KASPERSKY LAB
newsterminalvelocity[.]com - SINKHOLED BY KASPERSKY LAB
selective-business[.]com
slayinglance[.]com
successful-marketing-now[.]com - SINKHOLED BY KASPERSKY LAB
taking-technology[.]com
techasiamusicsvr[.]com - SINKHOLED BY KASPERSKY LAB
technicaldigitalreporting[.]com
timelywebsitehostesses[.]com
www.dt1blog[.]com
www.forboringbusinesses[.]com
EquationLaser:
lsassoc[.]com - re-registered, not malicious at the moment
gar-tech[.]com - SINKHOLED BY KASPERSKY LAB
Fanny:
webuysupplystore.mooo[.]com - SINKHOLED BY KASPERSKY LAB
EquationDrug:
newjunk4u[.]com
easyadvertonline[.]com
newip427.changeip[.]net - SINKHOLED BY KASPERSKY LAB
ad-servicestats[.]net - SINKHOLED BY KASPERSKY LAB
subad-server[.]com - SINKHOLED BY KASPERSKY LAB
ad-noise[.]net
ad-void[.]com
aynachatsrv[.]com
damavandkuh[.]com
fnlpic[.]com
monster-ads[.]net
nowruzbakher[.]com
sherkhundi[.]com
quik-serv[.]com
nickleplatedads[.]com
arabtechmessenger[.]net
amazinggreentechshop[.]com
foroushi[.]net
technicserv[.]com
goldadpremium[.]com
honarkhaneh[.]net
parskabab[.]com
technicupdate[.]com
technicads[.]com
customerscreensavers[.]com
darakht[.]com
ghalibaft[.]com
adservicestats[.]com
247adbiz[.]net - SINKHOLED BY KASPERSKY LAB
webbizwild[.]com
roshanavar[.]com
afkarehroshan[.]com
thesuperdeliciousnews[.]com
adsbizsimple[.]com
goodbizez[.]com
meevehdar[.]com
xlivehost[.]com
gar-tech[.]com - SINKHOLED BY KASPERSKY LAB
downloadmpplayer[.]com
honarkhabar[.]com
techsupportpwr[.]com
webbizwild[.]com
zhalehziba[.]com
serv-load[.]com
wangluoruanjian[.]com
islamicmarketing[.]net
noticiasftpsrv[.]com
coffeehausblog[.]com
platads[.]com
havakhosh[.]com
toofanshadid[.]com
bazandegan[.]com
sherkatkonandeh[.]com
mashinkhabar[.]com
quickupdateserv[.]com
rapidlyserv[.]com
GrayFish:
ad-noise[.]net
business-made-fun[.]com
businessdirectnessource[.]com
charmedno1[.]com
cribdare2no[.]com
dowelsobject[.]com
following-technology[.]com
forgotten-deals[.]com
functional-business[.]com
housedman[.]com
industry-deals[.]com
listennewsnetwork[.]com
phoneysoap[.]com
posed2shade[.]com
quik-serv[.]com
rehabretie[.]com
speedynewsclips[.]com
teatac4bath[.]com
unite3tubes[.]com
unwashedsound[.]com
TripleFantasy:
arm2pie[.]com
brittlefilet[.]com
cigape[.]net
crisptic01[.]net
fliteilex[.]com
itemagic[.]net
micraamber[.]net
mimicrice[.]com
rampagegramar[.]com
rubi4edit[.]com
rubiccrum[.]com
rubriccrumb[.]com
team4heat[.]net
tropiccritics[.]com
Equation group's exploitation servers:
standardsandpraiserepurpose[.]com
suddenplot[.]com
technicalconsumerreports[.]com
technology-revealed[.]com
IPs hardcoded in malware configuration blocks:
149.12.71.2
190.242.96.212
190.60.202.4
195.128.235.227
195.128.235.231
195.128.235.233
195.128.235.235
195.81.34.67
202.95.84.33
203.150.231.49
203.150.231.73
210.81.52.120
212.61.54.239
41.222.35.70
62.216.152.67
64.76.82.52
80.77.4.3
81.31.34.175
81.31.36.174
81.31.38.163
81.31.38.166
84.233.205.99
85.112.1.83
87.255.38.2
89.18.177.3
Kaspersky products detection names:
Backdoor.Win32.Laserv
Backdoor.Win32.Laserv.b
Exploit.Java.CVE-2012-1723.ad
HEUR:Exploit.Java.CVE-2012-1723.gen
HEUR:Exploit.Java.Generic
HEUR:Trojan.Java.Generic
HEUR:Trojan.Win32.DoubleFantasy.gen
HEUR:Trojan.Win32.EquationDrug.gen
HEUR:Trojan.Win32.Generic
HEUR:Trojan.Win32.GrayFish.gen
HEUR:Trojan.Win32.TripleFantasy.gen
Rootkit.Boot.Grayfish.a
Trojan-Downloader.Win32.Agent.bjqt
Trojan.Boot.Grayfish.a
Trojan.Win32.Agent.ajkoe
Trojan.Win32.Agent.iedc
Trojan.Win32.Agent2.jmk
Trojan.Win32.Diple.fzbb
Trojan.Win32.DoubleFantasy.a
Trojan.Win32.DoubleFantasy.gen
Trojan.Win32.EquationDrug.b
Trojan.Win32.EquationDrug.c
Trojan.Win32.EquationDrug.d
Trojan.Win32.EquationDrug.e
Trojan.Win32.EquationDrug.f
Trojan.Win32.EquationDrug.g
Trojan.Win32.EquationDrug.h
Trojan.Win32.EquationDrug.i
Trojan.Win32.EquationDrug.j
Trojan.Win32.EquationDrug.k
Trojan.Win32.EquationLaser.a
Trojan.Win32.EquationLaser.c
Trojan.Win32.EquationLaser.d
Trojan.Win32.Genome.agegx
Trojan.Win32.Genome.akyzh
Trojan.Win32.Genome.ammqt
Trojan.Win32.Genome.dyvi
Trojan.Win32.Genome.ihcl
Trojan.Win32.Patched.kc
Trojan.Win64.EquationDrug.a
Trojan.Win64.EquationDrug.b
Trojan.Win64.Rozena.rpcs
Worm.Win32.AutoRun.wzs
Yara rules:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25

rule apt_equation_exploitlib_mutexes {

meta:

copyright = "Kaspersky Lab"
description = "Rule to detect Equation group's Exploitation library"
version = "1.0"
last_modified = "2015-02-16"
reference = "https://securelist.com/blog/"

strings:

$mz="MZ"

$a1="prkMtx" wide
$a2="cnFormSyncExFBC" wide
$a3="cnFormVoidFBC" wide
$a4="cnFormSyncExFBC"
$a5="cnFormVoidFBC"

condition:

(($mz at 0) and any of ($a*))
}

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22

rule apt_equation_doublefantasy_genericresource {

meta:

copyright = "Kaspersky Lab"
description = "Rule to detect DoubleFantasy encoded config"
version = "1.0"
last_modified = "2015-02-16"
reference = "https://securelist.com/blog/"

strings:

$mz="MZ"
$a1={06 00 42 00 49 00 4E 00 52 00 45 00 53 00}
$a2="yyyyyyyyyyyyyyyy"
$a3="002"

condition:

(($mz at 0) and all of ($a*)) and filesize < 500000
}

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23

rule apt_equation_equationlaser_runtimeclasses {

meta:

copyright = "Kaspersky Lab"
description = "Rule to detect the EquationLaser malware"
version = "1.0"
last_modified = "2015-02-16"
reference = "https://securelist.com/blog/"

strings:

$a1="?a73957838_2@@YAXXZ"
$a2="?a84884@@YAXXZ"
$a3="?b823838_9839@@YAXXZ"
$a4="?e747383_94@@YAXXZ"
$a5="?e83834@@YAXXZ"
$a6="?e929348_827@@YAXXZ"

condition:

any of them
}

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

rule apt_equation_cryptotable {

meta:

copyright = "Kaspersky Lab"
description = "Rule to detect the crypto library used in Equation
group malware"
version = "1.0"
last_modified = "2015-02-16"
reference = "https://securelist.com/blog/"

strings:

$a={37 DF E8 B6 C7 9C 0B AE 91 EF F0 3B 90 C6 80 85 5D 19 4B 45 44
12 3C E2 0D 5C 1C 7B C4 FF D6 05 17 14 4F 03 74 1E 41 DA 8F 7D DE 7E 99
F1 35 AC B8 46 93 CE 23 82 07 EB 2B D4 72 71 40 F3 B0 F7 78 D7 4C D1 55
1A 39 83 18 FA E1 9A 56 B1 96 AB A6 30 C5 5F BE 0C 50 C1}

condition:

$a
}

1 pseudonym, to protect the original victim's identity >>
2 the name "Equation group" was given because of their preference for
sophisticated encryption schemes >>
Related Posts

The Great Bank Robbery: the Carbanak APT





Comparing the Regin module 50251 and the "Qwerty" keylogger





The Syrian malware part 2: Who is The Joe?





There are 2 comments
If you would like to comment on this article you must first login
lynx
Posted on February 17, 2015. 4:58 am

Ok, reading through NSA files that Der Spiegel released i found this:

http://www.spiegel.de/media/media-35661.pdf

This is a file that shows the job postings for NSA interns, you can find
a NSA wiki link in the last page. And this is very interesting:

(TS//SI//REL) Create a covert storage product that is enabled from a
hard drive firmware modification. The ideia would be to modify the
firmware of a particular hard drive so that it normally only recognizes
half of its available space. It would report this size back to the
operating system and not provide any way to access the additional space.

This is a 2006 document, it took 8 years to finish this product, which
is what kaspersky found.

So maybe you guys would easily find the malware if you revert the
firmware to a state prior of this date.
Reply
Bildos
Posted on February 17, 2015. 6:43 am

Firmware – definitely it’s something what AV should start to scan / check.
Yes it’s not easy task but absolutely needed to provide protection.
What’s required to check? Firmware modifications- to verify if we have
version in 100% confirmed by vendor.

unread,

Feb 17, 2015, 5:06:02 AM2/17/15

to

"Андрей" <Abrak...@mail.ru> wrote in message

news:mbuurr$cjf$2...@news.tlt.ru...

> Много лет сижу на касперском, никаких проблем не испытывал. Я не отрицаю,
> может быть вирусы и присутствуют у меня на компе, но никаких неудобств мне
> этого не доставляет.

2012 год.
Эксперты антивирусной компании "Лаборатория Касперского" обнаружили, что
часть прославившейся недавно вредоносной программы Duqu написана на
неизвестном языке программирования, сообщила пресс-служба компании.

мозг... мой мозг... :)))

Urban_Hero

unread,

Feb 17, 2015, 5:09:38 AM2/17/15

to

2015-02-17 10:58, DDD пишет:

> А кто-то еще доверяет иностранному ПО и железу, наивно полагая, что в
> них нет "закладок"?

а Касперский - отечественный что ли?!

Зарегистрирован за рубежом, там получает основную долю прибыли, хранит
её, тратит

статьи на английском пишет, на русском - только бложек нувораша - на
какие ещё острова съездил

Алекс

unread,

Feb 17, 2015, 5:22:25 AM2/17/15

to

17.02.2015 14:06, Sistor пишет:

Неужели Макро-Ассемблер ? В 16-ричных кодах ?

vpv

unread,

Feb 17, 2015, 5:28:07 AM2/17/15

to

"Sistor" <sis...@mail.ru> сообщил/сообщила в новостях следующее:

> 2012 год.
> Эксперты антивирусной компании "Лаборатория Касперского" обнаружили, что
> часть прославившейся недавно вредоносной программы Duqu написана на
> неизвестном языке программирования, сообщила пресс-служба компании.
>
> мозг... мой мозг... :)))

:-))))

А что не так? Может, они на асме голом все написали? Обычно стандартные
"хвосты" стандартных вызовов хорошо детектятся всякими дизасемблерами,
типа IDA. А тут народ в недоумении - на С++ не похоже, ВизуалС++ тоже,
на Яву не похоже, - ни на что не похоже.

(Им, сцуко, и невдомёк, что это был Фортран-66 !.. о_О :-)))))))

GCR

unread,

Feb 17, 2015, 5:48:09 AM2/17/15

to

> 2012 год.
> Эксперты антивирусной компании "Лаборатория Касперского" обнаружили, что
> часть прославившейся недавно вредоносной программы Duqu написана на
> неизвестном языке программирования, сообщила пресс-служба компании.
>
> мозг... мой мозг... :)))
>

не вижу ничего смешного или сверхестественного.
что мешает кому-либо создать еще один?

GCR

unread,

Feb 17, 2015, 5:50:26 AM2/17/15

to

17.02.2015 11:58, DDD пишет:

+100500
Некоторые производители это и не скрывают ОФИЦИАЛЬНО, о чем написано во
множестве источников.
А продукция эппл - это вообще как "черный ящик" в самолете, записывающий
все и передающий, "куда надо"

Ilya V. Kotlyarov

unread,

Feb 17, 2015, 6:10:35 AM2/17/15

to

17.02.2015 14:50, GCR пишет:

> Некоторые производители это и не скрывают ОФИЦИАЛЬНО, о чем написано во
> множестве источников.
> А продукция эппл - это вообще как "черный ящик" в самолете, записывающий
> все и передающий, "куда надо"

Это касается в принципе всех производителей мобильного железа, Дим.
Без сотрудничества со спецслужбами тебя просто не выпустят в рынок. Ну
или будешь на али банчить сотней аппаратов в год (что тоже не факт что
дадут сделать просто так). Закладки, аналогичные найденным в
квалкоммовских и гнусмасных есть и в камнях MTK и даже в алвиннерах и
сделали их отнюдь не китайцы.
Черные ящики от гугла в виде впихиваемых везде gms тоже ещё тот секрет
товарища Полишинеля. Не говоря уже о всяких более ранних вариациях
стукачества типа гуглпарнершип и прочих голосовых поисках, которые
анализируются вообще все. Про винфон еще смешнее - там закладки от и до,
даже больше чем в настольных версиях.

--
*/ God in his heaven. All`s right with the world (c) NERV
Ilya V. Kotlyarov

kep

unread,

Feb 17, 2015, 6:15:02 AM2/17/15

to

так машинный код не изменишь он всегда один :)
так что хоть 100 языков изобрети
"GCR" <g...@nm.ru> сообщил/сообщила в новостях следующее:
news:mbv6ae$1s9t$1...@ns.tolcom.ru...

Алекс

unread,

Feb 17, 2015, 6:18:01 AM2/17/15

to

17.02.2015 15:01, w_cooper пишет:

>> А что не так? Может, они на асме голом все написали? Обычно стандартные
>> "хвосты" стандартных вызовов хорошо детектятся всякими дизасемблерами,
>> типа IDA. А тут народ в недоумении - на С++ не похоже, ВизуалС++ тоже,
>> на Яву не похоже, - ни на что не похоже.
>

> Вообще то компилятор оставляет информацию о себе.

У меня свой компилятор был, ничего не оставлял ...

vpv

unread,

Feb 17, 2015, 6:19:22 AM2/17/15

to

"kep" <k...@mail.ru> сообщил/сообщила в новостях следующее:

> так машинный код не изменишь он всегда один :)
> так что хоть 100 языков изобрети

Да, но каждый язык имеет свой характерный "почерк" работы
с этим машинным кодом. Точно так же, как стихи Есенина отличаются
от стихов Маяковского, хотя и тот и тот использовали одни и те же буквы.
:)))

> "GCR" <g...@nm.ru> сообщил/сообщила в новостях следующее:

Алекс

unread,

Feb 17, 2015, 6:20:01 AM2/17/15

to

17.02.2015 15:14, kep пишет:

Не совсем так ... после компилятора с разных языков можно получить
совершенно разные результаты по количеству команд и размеру программы
... и даже по структуре. Но работать будут все.

Urban_Hero

unread,

Feb 17, 2015, 6:26:15 AM2/17/15

to

2015-02-17 09:56, Soga пишет:
> Можно ссылку на первоисточник?

http://kaspersky.com/about/news/virus/2015/Equation-Group-The-Crown-Creator-of-Cyber-Espionage

~ SLAVA ~

unread,

Feb 18, 2015, 1:38:59 AM2/18/15

to

Дим, да не парься ты, народ верит в то во что хочет верить.

Suigintou

unread,

Feb 18, 2015, 3:12:14 AM2/18/15

to

On 17.02.2015 12:41, Андрей wrote:
> происходящее на компе не поддавалось никакому объяснению

У меня XPшечка живет уже 8 лет без переустановок, совсем без
антивирусов. И линух, переезжая с железки на железку, уже лет 10, с
регулярной сборкой мира.

Антивирус не нужен.

Urban_Hero

unread,

Mar 5, 2015, 3:15:15 AM3/5/15

to

2015-02-17 14:26, Urban_Hero пишет:

> 2015-02-17 09:56, Soga пишет:
>> Можно ссылку на первоисточник?
>
> http://kaspersky.com/about/news/virus/2015/Equation-Group-The-Crown-Creator-of-Cyber-Espionage
>
>
>

описание этого механизма:
spritesmods.com/?art=hddhack — для Western Digital
s3.eurecom.fr/~zaddach/docs/Recon14_HDD.pdf — для Seagate

Арам Абрамович Чингачгуцкий

unread,

Mar 5, 2015, 3:36:08 AM3/5/15

to

Ну, реально, херь какая-то: компания зарегистрирована в США, творит там же,
и вдруг "сливает" США?! Оне чо, адиоты?!!

"Urban_Hero" <I....Zh...@GMail.com> сообщил/сообщила в новостях следующее:
news:md93bt$78j$1...@ns.tolcom.ru...

> 2015-02-17 14:26, Urban_Hero пишет:
>> 2015-02-17 09:56, Soga пишет:
>>> Можно ссылку на первоисточник?
>>
>> http://kaspersky.com/about/news/virus/2015/Equation-Group-The-Crown-Creator-of-Cyber-Espionage
>>
>>
>>
>
> описание этого механизма:

> spritesmods.com/?art=hddhack - для Western Digital
> s3.eurecom.fr/~zaddach/docs/Recon14_HDD.pdf - для Seagate
>

Urban_Hero

unread,

Mar 5, 2015, 3:37:23 AM3/5/15

to

2015-03-05 12:34, v.li...@vaz.ru пишет:

> Ну, реально, херь какая-то: компания зарегистрирована в США, творит там же,
> и вдруг "сливает" США?! Оне чо, адиоты?!!

нет, просто контракты нужны
0бамка башляет

Urban_Hero

unread,

Mar 5, 2015, 4:49:12 AM3/5/15

to

2015-03-05 12:34, v.li...@vaz.ru пишет:

> компания зарегистрирована в США, творит там же

это не мешает верующим гордиться ей:

> Управляющий директор североамериканского офиса «Лаборатории Касперского» в Бостоне, Крис Доггетт, заявил, что «группировка Carbanak», названная по используемому зловредному ПО, показывает повышение хитроумности кибератак на финансовые компании.

http://зделаноун.аз/