И снова здравствуй вирус!

Раздел содержит статьи по различным тематикам: безопасность и пр.
iTuneDVR
Сообщения: 3218
Зарегистрирован: 24 авг 2013, 11:05

И снова здравствуй вирус!

Сообщение iTuneDVR » 05 дек 2014, 00:16

Второй раз сталкиваюсь с ситуацией, когда для целей изучения мне выставляют наружу регистратор бренда Polyvision (ДЕАН) и второй раз скачивая удалённо прошивку и файлы с него антивирус начинает орать, что вирусина однако.

Изображение
Оригинальная картинка взята из регистратора PVDR-08WDS2 Rev.B., о котором пойдёт речь и выложена, как она есть!

Итак всё по-порядку!
Как-то в марте 2014 года, ко мне обратились с просьбой сохранить образ прошивки с купленного только что видеорегистратора у одного из представителей ДЕАНА в России, чему я в общем-то обрадовался т.к. и образ не помешает и можно поизучать, что у него внутри!
Новая партия,только с завода и от прямого поставщика.
Это оказался PVDR-08WDS2 Rev.B. http://www.polyvision.ru/polyvision/pvdr_08wds2_rev_b.html
Ничего не предвещало никаких сюрпризов, как мой беЗплатный AVAST, стал подавать сигналы, что обнаружены вирусы!!!.
Я поначалу не понял, что к чему и откуда это, но когда до меня дошло, что из операций к меня только копирование с удалённого регистратора файлов из его прошивки я просто повеселел от удивления.

Присмотревшись я увидел:

Изображение

Красным выделены файлы из конфигурации регистратора. Обратите внимание на дату и время из создания.
Файлы Account1 и др. - это файлы конфигурации регистратора и это текущая настройка на регистраторе, который пришёл с завода. Она пока не менялась т.к. регистратор только включили и настроек никто не менял и EXE файлы имею ту же дату!
Было проверено несколько регистраторов из одной партии и картина одинаковая, конечно есть небольшие различия в минутах на других регистраторах.

А в свойствах сцапанных файлов антивирусом было следующее

ИзображениеИзображение
Разные антивирусы по разному реагируют на эти файлы и по разной классификации их представляют, но всё однозначно указывают, что это вирус.
Имея под рукой декомпилятор для программ написанных на VB, я получил исходник тела вируса, в которых прослеживался явно чинайский след!
По этому поводу тут долго говорить не буду и кому интересно это сам может проделать.

Посовещавшись с владельцем оборудования, решили не выносить сора из избы и предупредить по-тихому продавца.
Партия это была свежая, прямиком из чиная и нигде не останавливалась - значит вирус уже был прошит на заводе!
Обратившийся оповестил поставщика со своей стороны, а я со своей стороны написал письмо в службу техподдержки ДЕАНА, так сказать вопрос на засыпку.

Изображение

Ответ получил немного неожиданный, но вполне обычный.

Изображение

Ничего никуда не ушло, на самом деле, как мне сказали, аппарат оставался без движения долгое время у владельца регистратора.
Конечно, может им действительно некогда и есть дела поважнее, выставки например или еще что-нибудь, а на носу как раз таки MIPS2014 намечался!
Вообщем внятных ответов я так и не получил ни на форуме ни в почту. Вообщем по-тихому и получилось, замялось.
Странно то, что вроде бы техническому специалисту не нужно долго объяснять чем грозит вирусная угроза. Однако.... ;)

iTuneDVR
Сообщения: 3218
Зарегистрирован: 24 авг 2013, 11:05

Re: И снова здравствуй вирус!

Сообщение iTuneDVR » 05 дек 2014, 00:39

Но, на прошлой недели ко мне обратились уже с другим регистратором, но с той-же просьбой для другого нового регистратора.
PVDR-04WDS2 rev.C http://www.polyvision.ru/polyvision/pvdr_04wds2_rev_c.html

И вот что их этого получилось

Изображение

Красным выделены посторонние объекты. Файлы конфигурации имеют туже дату и схожее время. Посторонних объектов стало больше. Обращаем внимание на время созданных объектов!
Как и в прошлый раз это новинка! ;)

Всплывающие окошко от антивируса при копировании файлов. Копировал несколько раз, чтобы поймать момент окна, потому прошлось несколько раз перезапускать копирование файлов из регистратора на сетевое устройство в ПК.
Изображение
Изображение
Изображение
Изображение

Прошла неделя, а ответа после отправки сообщений соответствующим лицам в ДЕАНЕ - и тишина, как и в прошлый раз.
Вот и решил описать ситуацию целиком.
Ситуация неожиданная в плане нахождения вирусов в видеорегистраторах. Тут даже ничего придумывать не нужно и фантазировать, какие последствия могут быть. И не важно, в спящем состоянии они, могут они навредить или нет, пусть с этим разбираются другие, важен сам факт и реакция поставщика этого товара!

Описанная в статье
http://www.security-bridge.com/biblioteka/stati_po_bezopasnosti/uyazvimosti_v_bezopasnosti_ip_ustrojstv_razlichnyh_brendov_dahua_i_ego_klony_chast_1/
простота сборки разборки прошивки и известный технологический доступ в телнет позволяют не только для Дахуа регистраторов, но и для этой серии
XM http://www.xiongmaitech.com от которой берут корни такие бренды как Divitec, Hunter, Giraffe, Master, Novocam и мн. др. сделать всё что угодно и встроить всё, что угодно во внутрь. Полная свобода действий.
В данном случае речь не идёт про файлы прошивок, выложенные у Поливижена на сайте.
У других прошивок мало выложено, что может также порождать некоторые моменты описанные в статье.

Самый простой пример доверия:
Вам нужно сбросить на флешку видео с такого видеорегистратора. Вы вставляете флешку, выбираете необходимые фрагменты, сохраняете. Вместе с видео на флешку копируется исполняемый файл-плеера для ОС Windows. Ход мыслей понятен? ;)

Я опросил многих кто использует данный механизм и никто не заподозрил в этом подвоха т.к. всецело доверят тому, что выходит из регистратора!!!
Есть ли на ПК антивирус или нет, обнаружит его антивирус или нет - это, повторюсь, вопросы другие.
Напрашивается вывод, однако предлагаю его сделать каждому самому ;)

P.S.
Со снимков с экрана я убрал лишнее, что не относится к делу, и чтобы не компроментировать владельца техники и не показывать своё окружение и некоторые методы взаимодействия с техникой.


Вернуться в «Статьи»