Доброго времени суток!

Предистория:
У меня развивается паранойя! Решил тут на работе на компе запустить AVZ (антивирусная утилита). И о чудо: в отчете все красным-красно. Тут тебе и руткиты с перехватами, и бэкдоры и еще всякая лабуда...
Большую часть отсеял, оказалось вполне безопасные приложения. Думал уж, что в корпоративной сети получше будет, чем в домашней - тут обычно пекутся о безопасности компании, но оказывается нет!

Насторожило очень то, что есть подозрение на KeyLogger. Папка в отчете указана (
%PROGRAMFILES%\SearchInformAgent\SIFilterSvc2\SIFilterSvc.exe) и через Total Commander топаем туда смотреть, что это там за зверь залег... Зайдя в %PROGRAMFILES%, долго тупил... Папки такой нет... Смотрю через PETools список загруженных модулей: такой процесс есть... Что за фигня?

Ввожу папку ручками в Пуск -> Выполнить... Оба-на.. Открылась, сразу подозрение на руткит... Скрывается сука! Вот тут то меня и накрыло!
Антивирусы молчат на все файлы в папке, значит одно из двух: нет в базах или все легально...

Через Гугл нахожу контору - производителя сего чуда: http://searchinform.ru/
А там:
«Контур информационной безопасности SearchInform» позволяет выявлять утечки конфиденциальной информации и персональных данных через электронную почту; ICQ; голосовые и текстовые сообщения Skype, посты на форумах или комментарии в блогах; внешние устройства (USB/CD); FTP; файл-серверы; ноутбуки, в том числе отключенные от корпоративной сети; документы, отправляемые на печать; а также появление конфиденциальной информации на компьютерах пользователей. Ответственные сотрудники оперативно оповещаются о нарушениях политики безопасности. Расширенные поисковые возможности позволяют эффективно защищать конфиденциальные данные при минимальных трудозатратах на анализ информационных потоков.

Вот это да! За нами тут следят не по-детски...
Как обойти? Снимаю хуки, удаляю файлы через Unlocker (какие удаляются, какие-то нет). Перезагружаюсь... Захожу в %PROGRAMFILES% и чудо: папка видна... Удаляю ее к чертям и радуюсь!

Но не долго! Через несколько перезагрузок в входов в систему решил снова запустить AVZ, так сказать подтвердить успех... Епана-рот, опять те же лица... Повторяю все шаги по удалению, но в довесок делаю папку эту бесправную (вообще)

Вроде помогло, сколь не перезагружался... Параноик скажете вы... Возможно!
Ну а как следят за Вами на работе, али дома?

-----
One death is a tragedy, one million is a statistic.

| Сообщение посчитали полезным:

ZaZa пишет:
Ну а как следят за Вами на работе, али дома?
иногда соседи в окна заглядывают из дома напротив...

| Сообщение посчитали полезным: ZaZa, kioresk

ZaZa, а че, есть же утили всякие типа NeoSpy и tmeter, которые юзает руководство, чтобы их подчиненные не лазили по вконтактикам и одноклассниками, а потом, когда платить зарплату, тебе покажут, по каким порносайтам ты лазил, сколько трафика на ютубе сожрал и т.д.

-----
Array[Login..Logout] of Life

| Сообщение посчитали полезным:

Да такое практикуется довольно широко. Есть спрос - есть предложение. Таких систем множество. Есть сторонних производителей как приведенная или например вот эта http://www.staffcop.ru/ с подобным функционалом, а в больших корпарациях свои внутренние разработки. Когда-то копался в подобной шняге от Самсунг. Вот там действительно не по-детски.

Да и здесь. Ты ее прибил на машине, сервак системы просканил клиенты, не нашел клиента на твоей машине, отстучал в логи и в какую нибудь дыру снова тебе ее засунул. Ты снес и папочку подправил и теперь ты все время в верхних строчках хитпарадов логов. Жди гостей из службы безопасности конторы .

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным: ZaZa

Да за самовольное удаление такого ПО могут и с работы попереть.
Лучше с ноутом ходи на работу))

-----
AutoIt

| Сообщение посчитали полезным: ZaZa

А вот теперь стало совсем интересно! Пообщался с нашим сисадмином (общаемся нормально). Ни о каком таком ПО он знать не знает, но сказал по секрету, что у нас в конторе вирус сидит и иногда сеть тормозит изрядно... Пока что найти не смогли. Я собщил ему все, что узнал...

Получается, что используется сторонее ПО для слежки (может ботнет?) вирусом, хорошо себя скрывающим... Очень интересный подход... Как попал и как распространяется - вопрос, но думаю, разберемся!

-----
One death is a tragedy, one million is a statistic.

| Сообщение посчитали полезным:

Стрёмный у вас админ какой-то, если не знает, что за софт стоит на машинках, но в курсе про какой-то призрак коммунизма/вируса, который бродит по конторе, но ничего с ним не делает. Возможно, стоящая выше организация поставила, если есть такая.

| Сообщение посчитали полезным:

Все возможно...

-----
One death is a tragedy, one million is a statistic.

| Сообщение посчитали полезным:

а чё в ФСБ необучили как софт коллег снимать со своих машин?

| Сообщение посчитали полезным:

specz

Это я что ли в ФСБ работаю?

-----
One death is a tragedy, one million is a statistic.

| Сообщение посчитали полезным:

ZaZa пишет:
Это я что ли в ФСБ работаю?
сисадмин

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

ZaZa
Мой тебе совет: не трогай ты это дело, а то тебя еще и виновным назначат. Хотя уже поздно, рассказал админу - уже вмешался, теперь чужие проблемы могут стать твоими. Лучше всего забей и забудь, авось пронесет.

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным:

ntldr пишет:
Мой тебе совет: не трогай ты это дело, а то тебя еще и виновным назначат.
Низашто!
А нечего мой рабочий компьютер трогать! )

-----
One death is a tragedy, one million is a statistic.

| Сообщение посчитали полезным:

Ключевое слово - рабочий. Он не твой. За излишнюю инициативу тебе зарплату не повысят и премию не дадут, а втык за то что лез куда не надо - это запросто. Еще и отметят как нелояльного сотрудника, а значит кандидата на увольнение при первом удобном случае. И это так, мелочи, если сильно не повезет то может выйти что это ты установил в конторе шпионский софт (а вдобавок пиратский винрар и порно с конями), а значит пойдешь по УК, что неиллюзорно хреново, каким бы смешным ни было обвинение.
Впрочем дело твое, каждый набивает свои шишки.

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным: ClockMan, ZaZa, tempread

На своих ошибках учимся...

-----
One death is a tragedy, one million is a statistic.

| Сообщение посчитали полезным:

Получил в дыню?

| Сообщение посчитали полезным:

ZaZa
Колись

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

ZaZa
А вообще зачем же так сразу удалять? Нужно ведь разобраться, что за зверь, как работает, поисследовать софтину. Т.е. скачать инсталлятор либо саму жертву с рабочего компа, подебажить аккуратненько. Когда удасться выяснить, за чем это ПО следит и что пересылает, нужно попытаться создать для него такое окружение, чтоб этот шпионский говнософт репортил на базу, что всё чудесно, что вы самый трудолюбивый сотрудник во всей фирме и т.д.

Первым этапом было выявление, это хорошо. Дальше может быть сбор информации о распространённости этого зверя на компьютерах других сотрудников. Если это корпоративный шпионаж, то софт сей будет не только у вас установлен, и тогда можно действовать по вышеописанному сценарию. А если вы - единственный счастливый обладатель сего зверя, то вы молодец, что его снесли, полагаю, на этом всё и закончится.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным: ZaZa

Archer пишет:
Получил в дыню? Пока нет, но весь во внимании... Уже зубки подготовил: Но, кто к нам с тем придет, то от того и того и получит! )

ARCHANGEL пишет:
А если вы - единственный счастливый обладатель сего зверя
К сожалению нет... Проверил лично 4 компа...

ARCHANGEL пишет:
А вообще зачем же так сразу удалять?
Вот теперь согласен... Надо бы поизучать! Есть желающие? Могу скинуть DLL-ки...

-----
One death is a tragedy, one million is a statistic.

| Сообщение посчитали полезным:

ZaZa
Занятость у меня высокая сейчас, но если вас не затруднит, скиньте. А то очень любопытно, как оно там всё устроено. Мне как-то не доводилось такого видеть, хотя некоторые знакомые с других фирм жаловались, что у них такое скрытное наблюдение практикуется, но рабочих сэмплов мне никогда не попадалось. Так что если не сейчас, то хоть когда-нибудь смогу глянуть.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ARCHANGEL
Если есть желание поковырять, то вот: --> Link <--
Пароль: ZaZa

И прошу сообщать о ходе рассмотрения...

P.S.:
Все это дело хранится в папке: c:\progra~1\search~1\sifilt~1
Можете проверить, есть ли такая папка у Вас... Через ПУСК-ВЫПОЛНИТЬ...

Главный инжект, я так понял - SIPH.DLL, так как он стартует через AppInit_DLLs

-----
One death is a tragedy, one million is a statistic.

| Сообщение посчитали полезным: ARCHANGEL

ZaZa
Скачал, буду смотреть по возможности. По именам библиотек можно сделать ввывод, что эта штучка может снифать многое...

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ARCHANGEL
Судя по описанию на офф сайте, он действительно снифает многое...
«Контур информационной безопасности SearchInform» позволяет выявлять утечки конфиденциальной информации и персональных данных через электронную почту; ICQ; голосовые и текстовые сообщения Skype, посты на форумах или комментарии в блогах; внешние устройства (USB/CD); FTP; файл-серверы; ноутбуки, в том числе отключенные от корпоративной сети; документы, отправляемые на печать; а также появление конфиденциальной информации на компьютерах пользователей. Ответственные сотрудники оперативно оповещаются о нарушениях политики безопасности. Расширенные поисковые возможности позволяют эффективно защищать конфиденциальные данные при минимальных трудозатратах на анализ информационных потоков.

-----
One death is a tragedy, one million is a statistic.

| Сообщение посчитали полезным:

> утечки конфиденциальной информации и персональных
That's why засранчеги ксорят свой трафик.

-----
Shalom ebanats!

| Сообщение посчитали полезным:

AppInit_DLLs выбран не случайно, через него можно контроллировать какие проги можно запускать, а какие нет

| Сообщение посчитали полезным: