05.06.2023 18:53
Maratan 21 3300 Источник

Предыстория

Изначально данное мини-расследование было опубликовано на пикабу, но получив отклик аудитории, читающей по диагонали, не имеющей конструктива и любящей только котиков не понял мой посыл (хотя пост и был написал в лёгком стиле), решил поделиться здесь, при этом вырезав "воду" и дополнив данными.

Кратко

  1. Обнаружен BackDoor.Dandle.5 в ServiceHub.RoslynCodeAnalysisServiceS.exe, который является компонентом MS VS 2019.

  2. Сообщено в поддержку Microsoft.

  3. Взято в работу с обещанием обратной связи и выяснения обстоятельств.

  4. Тикет закрыт через неделю по причине "Попытка фишинга через форму обратной связи".

  5. В течении двух месяцев я вновь пытался достучаться до поддержки, но обратного ответа я просто не получил.

С чего все начиналось

В обычный будничный вечер попивая кофе и размышляя над очередной задачей обнаруживаю подключение к рабочему столу и перехват управления курсором.

В спешке отключаю Wi-Fi соединение и начинаю думать. Antimalwarebytes молчал как рыба, а журналы Windows не зафиксировали ничего подозрительного. В этот вечер пожалел, что отсутствует вообще какой-либо анализатор трафика (да и ранее не задумывался о его необходимости).

Анализ проблемы

Первым делом с другого компьютера был загружен чистильщик Dr.Web CureIt! и запущен на сканирование.

Результат меня удивил: в файле ServiceHub.RoslynCodeAnalysisServiceS.exe был обнаружен BackDoor.Dandle.5. Который является компонентом IDE Microsoft Visual Studio 2019 версия 16.11.21

Результат сканирования
Результат сканирования

Почитав информацию о данном недуге возник вопрос, а может ли данная проблема иметь массовый характер или ограничена только мной. К сожалению, Интернет ответа на данный вопрос мне не дал, поэтому данный анализ был приведён в офисе и получены результаты, к сожалению неутешительные.

Один из результатов сканирования офисных ПК
Один из результатов сканирования офисных ПК
Версия "зараженной" студии
Версия "зараженной" студии

В подавляющем большинстве в версиях 16.11.16, 16 11.18, 16.11.21 проблема имела место быть, а в версиях 16.11.09 и ниже проблема не наблюдалась, остальные версии не проверялись.

В MS VS 2012 и 2022 бэкдур не обнаружен, это подтвердили несколько неравнодушных пользователей пикабу, как и MS VS 2019 версию 16.11.05

Решение проблемы

К сожалению, не так просто получилось её решить, для этого есть несколько причин:

1) бэкдур обнаруживается чистильщиком только тогда, когда запущена сама IDE и попытка проверить его на Virustotal неуспешна, даже сам доктор молчит

2) Попытка его убить, переместить, заменить на незаражённые файлы, успехом не увенчались, он снова и снова возрождался как феникс.

Помог только полный откат на версию 16.11.09, не считаю его идеальным, но, к сожалению, сил с ним бороться больше не было.

Обращение в поддержку

Обычно мы привыкли ругать тех. поддержки наших сервисов, но тех. поддержка Microsoft своим отношением смогла перебить даже ягодок.

Во первых она осуществляется строго по подписке, если у вас community, то скорее всего даже не получиться никому написать, можете убедиться в этом сами или я чего не знаю.

Тогда было принято решение зайти со стороны отсутствия входа в аккаунт, так как при попытке входа в меня выкидывало ошибку 715-123150.

Через пару дней работа кабинета действительно восстановился, но причину его блокировки назвать отказались, оставил это на их совести и попытался выяснить источник основной проблемы

Далее всё стандартно, запросили детали:

В письме были подробно описаны шаги обнаружения, методы борьбы, которые я пытался использовать, а также прикрепленв заражённые файлы приложены, оператор предупреждён. Странное началось дальше, когда с некоторой периодичностью я стал получать сообщения о том, что тикет будет закрыт, по причине отсутствия деталей с моей стороны.

Как оказалось при каждой попытке отправить файл, почему-то именно в папку спам летели письма от Microsoft, что письмо не было доставлено, по причине подозрительных файлов в письме.

Тогда я запросил альтернативные способы отправки файлов, но меня добавили в белый список и после этого письмо было доставлено до конечного адресата.

Информация передана, ждём результат и.. получаем через некоторое время письмо счастья, что тикет закрыт по причине "попытка фишинга при использовании формы обратной связи".

Такое удивление и обиду я не испытывал давно. Далее было множество попыток оспорить, связаться с поддержкой, в том числе через чат на официальном сайте и выяснить хоть что-то.

Все сообщения приводить не буду, писал на разные адреса, как в рамках одного письма с указанием копий, так и по отдельности.

Как вы понимаете, раз статья здесь, то проблема актуальна и хотелось бы ей поделиться, а также получить больше результатов.

Итог

Хотелось бы понять масштаб или его отсутствие.

Для этого неравнодушных товарищей прошу, по возможности, уделить немного времени и проверить свои IDE и, если проблема носит действительно массовый характер, то найти метод её решения, так как помощи от технической поддержки вряд ли дождёмся.

Ответы на часто задаваемые вопросы:

1) компьютер домашний и офисная сеть ни физически ни виртуально не подключены, вариант заражения между ними невозможен;

2) в офисе стоит песочница, МЭ и другие средства защиты, но как говорил ранее вирус можно обнаружить только при отладке (и иногда при запущенной IDE).

Дополнение:

Ссылка на VirusTotal: https://www.virustotal.com/gui/file/46013f968eb685415f1aad0a006ae85ff21aa54bd89417d5c5ec388da662fac2/summary

Комментарии (21)


  1. fedorro
    05.06.2023 19:08
    #25619618
    +7

    А не думали что это ложное срабатывание, а управление перехвачено было по другой причине? Что-то мне кажется маловероятным, что в ПО на миллионах ПК есть троян десятилетней давности, и никто не заметил ...


    1. vilgeforce
      05.06.2023 19:08
      #25619704

      Да конечно это фолс.@doctorwebпосмотрите, если не путаю с Dandle у вас проблемы уже бывали...


      1. vilgeforce
        05.06.2023 19:08
        #25619742

        А не, наврал. с Dandle не было проблем, но зверь крайне редкий!


    1. Maratan Автор
      05.06.2023 19:08
      #25620748

      По поводу ложного срабатывания, не исключал, но кроме BackDoor.Dandle.5 большегю ничегообнаружено не было. Дополнительно проверял Malwarebytes Anti-Malware, он ничего не обнаружил.

      А вот с Dr.Web связаться не догадался, в ближайшее время попытаюсь. По результатам дам обратную связь, но не думаю, что это быстрый процесс.


  1. 13werwolf13
    05.06.2023 19:08
    #25619620
    -7

    Некрософт и поддержка это несовместимые вещи, репорты по ошибкам и подозрительной активности их софта они раньше тупо игнорили, а тепепь вот так.

    На их форумах все ответы от пользователей а не от сотрудников, и все "сам разобрался" или "нашёл на другом форуме". Даже bugzilla любого малоизветсного и/или полумёртвого дистрибутива линукс куда более активна и полезна.


  1. Fox_exe
    05.06.2023 19:08
    #25619682
    +2

    Сообщение про фишинг - это бот, который увидел вирус в прикреплённом файле и сработал штатно - а именно кинул распространителя вирусов (вас) в бан.

    Ктож отправляет заражённые файлы в открытом виде? Такое обычно пакуют в запароленный архив.


    1. Einherjar
      05.06.2023 19:08
      #25620596

      Да и не совсем понятно нафига файлы то вообще отправлять было? Даже если допустить что в дистрибутиве есть малварь, то у разработчиков же есть дистрибутив и достаточно указать на то в каком файле смотреть.


    1. Maratan Автор
      05.06.2023 19:08
      #25620758

      Он сделал это после того, как меня добавили в список исключения и сказали передали информацию группе разработчиков?

      Отправить файлы попросила служба поддержки, правила отправки разъяснены не были, поэтому внутренней кухни не знал.


  1. vilgeforce
    05.06.2023 19:08
    #25619686
    +5

    Техника в руках дикаря превращается в груду металла... :-(

    Слепая вера в антивирус - глупость. Вера в то, что у MS была мальварь и вы первый кто ее обнаружил - вдвойне глупость. Основываясь на трижды глупых посылках вы не пишете в Dr.Web с вопросом что же они там обнаружили, нет! Вы сразу пишете в MS, которые к детекту не имеют никакого отношения. Подумайте, на сколько "баллов" тянет отправка исполняемого и потенциально зараженного файла, когда вас о ней не просили? Результат немного предсказуем, увы...


  1. Groramar
    05.06.2023 19:08
    #25619700
    +1

    Рекомендую узнать что такое virustotal.com и чем он мог бы быть полезен в данной ситуации.


    1. vilgeforce
      05.06.2023 19:08
      #25619710

      Ссылку на VT автор не приложил, но вангую что там было бы... 1/63 детектов, файл от 2020 года или раньше, рескан новых детектов не добавил бы...


    1. vilgeforce
      05.06.2023 19:08
      #25619752
      +1

      Если что, ссылка на VT https://www.virustotal.com/gui/file/46013f968eb685415f1aad0a006ae85ff21aa54bd89417d5c5ec388da662fac2/details


      1. Maratan Автор
        05.06.2023 19:08
        #25620792

        Спасибо за дополнение, добавил ссылку в дополнение к статьи.

        В сообщении выше, Вы написали предположение о срабатывании, но опубликовав ссылку Вы же видите, что обнаружений нет.


  1. dartraiden
    05.06.2023 19:08
    #25619792

    У майков есть специальная форма, через которую следует отправлять подозрительные файлы. Её нетрудно найти, если вбить в поисковик фразу "Windows Defender send virus". Именно со стороны Защитника Windows тут и следовало заходить, т.к. если там реально вирус (вероятность чего крайне мала, но бог с ним), а Защитник его не детектирует — нужно отправить образец.


    А не аттачить это прямо к письму и слать в поддержку.


    1. Maratan Автор
      05.06.2023 19:08
      #25620808

      Спасибо за совет!

      Воспользуюсь, параллельно с запросом в техническую поддержку Dr.Web.


  1. diakin
    05.06.2023 19:08
    #25619966

    Ну или "бот, который увидел вирус в прикреплённом файле ", или false positive. Вы определитесь, за что ТС ругать.


    1. vilgeforce
      05.06.2023 19:08
      #25620606

      Бот увидел не вирус, а исполняемый файл, о чем он явно написал


  1. HappyGroundhog
    05.06.2023 19:08
    #25620362

    Если есть твёрдая уверенность в том, что файл заражен, то Reddit или сеть Маска вам в помощь. Там инфа быстро дойдет до ответственных в MS.


  1. LordDarklight
    05.06.2023 19:08
    #25620654

    Пошёл проверять свой VS 17.6.1 который как раз находится в режиме отладки проекта Roslyn ;-)


    1. Maratan Автор
      05.06.2023 19:08
      #25621278

      Здравствуйте, есть ли результат?

      Версия 17.6.1 это VS 2022?


      1. LordDarklight
        05.06.2023 19:08
        #25621606

        Версия 17.6.1 это VS 2022?

        Да

        Здравствуйте, есть ли результат?

        Такой файл "ServiceHub.RoslynCodeAnalysisServiceS.exe " у меня есть, но cureit в нём заразы не нашёл

        Имя: ServiceHub.RoslynCodeAnalysisServiceS.exe
        Расположение: C:\Program Files\Microsoft Visual Studio\2022\Enterprise\Common7\ServiceHub\Hosts\ServiceHub.Host.AnyCPU
        Размер: 18440 байтов (18 KiB)
        Версия файла: 4.2.8.64021
        Название продукта: ServiceHub.Host.AnyCPU
        CRC32: 71FB73C5
        CRC64: BB00D4ADC21B2C2E
        SHA256: c4d64f3bedea1264889366aa7284830d544fd3ba0ca96f444d3097229f44e758
        SHA1: a8b954c2dd9aec805e5f410156d5e56db10d92b7
        BLAKE2sp: 1482bdfe1f88b7b99ab42dfc75c6670eadbd405366b9788bddb7e949ca12cd68

        Расположение:C:\Program Files\Microsoft Visual Studio\2022\Enterprise\Common7\ServiceHub\Hosts\ServiceHub.Host.Dotnet.x64

        Имя: ServiceHub.RoslynCodeAnalysisServiceS.exe
        Размер: 159224 байтов (155 KiB)
        Версия файла: 4.2.8.64021
        Название продукта: ServiceHub.Host.dotnet.x64
        CRC32: 73847828
        CRC64: C050EA136EC81924
        SHA256: 0834c07573788155cb4d1599c4fa77d3d757102ac41b569bcdd5950e1af1a4c1
        SHA1: 4d4cbcfdc589de4740cc81caf876eaf48dc67e47
        BLAKE2sp: f650c06f9b4b68675cf580dd5e2bf328ee856b66f7f23bde609b91e553f394b5