Как Microsoft встраивает вирусы в софт
Предыстория
В обычный будничный вечер при написании очередной горы кода обнаруживаю подключение к рабочему столу и перехват управления курсором.
В спешке отрубаю Wi-Fi соединение и начинаю думать.
Первым делом проверяю статусы антивирусов: antimalwarebytes покинул чат (спасибо санкциям за это) как и брандмауэр Windows, который был вырублен вместе с обновлением при установке Windows в 2019 году.
Анализатора трафика отсутствовал, так как мне он нахрен тогда был нужен. (а зря).
Поиск проблемы
В голову пришла идея, скачать чистилищик и прогнать систему, выбор пал на паука с зелёным щитом от известного доктора
(dr web cureit если кому интересно)
Скачал на ноут жены, перенёс на флешку, запустил и..
Развязка
Какого было моё удивление, в файле ServiceHub.RoslynCodeAnalysisServiceS.exe был обнаружен BackDoor.Dandle.5. Который является компонентом IDE Microsoft Visual Studio 2019 версия 16.11.21
Думаю ерунда, подцепил, бывает, но нужно убедиться в том, что я не верблюд.
В рамках эксперимента прихожу в офис и прогоняю все компьютеры с установленной MS VS 2019 с различными версиями и версия с тем кто верблюд встала на свои места.
В подавляющем большинстве в версиях 16.11.16, 16 11.18, 16.11.21 из них проблема имела место быть, в версиях 16.11.09 и ниже проблема не наблюдалась, остальные версии не проверялись.
Самое хреновое, что этот зверь обнаруживается чистильщиком только тогда, когда запущена сама IDE.
Попытка его убить, переместить, заменить файлы, успехом не увенчались, он снова и снова возражлался как феникс.
Помог только полный откат на версию 16.11.09.
Обращение в поддержку
Для тех кто хаит наши поддержки скажу, что для поддержки Microsoft приготовлен отдельный котёл, она осуществляется строго по подписке, если у вас community, то хрен вам на воротник и барабан на шею.
Достучаться до оператора не получилось от слова совсем, можете попробовать сами, может я чего не знаю.
Тогда было принято решение зайти со стороны отсутствия входа в аккаунт, так как при попытке входа в него меня выкидывало с ошибкой 715-123150.
Ок, подумал я и решил сообщить в лоб об имеющей проблеме:
Пока идёт всё хорошо, верно? Они запрашивают необходимую информацию и больше подробностей, что в принципе логично.
И вот дальше началось просто какой-то сюр, в письмо описываю проблему, прикрепляю заражённые файлы, честно её об этом предупредив и другие данные.
Я начал получать уведомления о том, что они закрывают мой трек из за отсутствия ответа, причём с дублирование в некий промежуток
Как оказалось письма от Microsoft о том, что содержимое сообщения содержит файлы, поэтому они их не принимают падали в папку спам и до конечного получателя они не доходили.
В итоге окольными путями меня поставили в белый список? и после этого файлы были отправлены.
Отлично, информация передана, ждём ответа и пьём кофе.. думал я, но спустя время на почту мне прилетает письмо счастья о том что мы забили болт на вас и вообще хрен ли вам надо? трекер закрыт по причине:
ПОПЫТКА ФИШИНГА ЧЕРЕЗ ФОРМУ ОБРАТНОЙ СВЯЗИ!
С этого начало дико подгарать, в письме есть возможность оспорить закрытие(ага, ага, удачи), но обратной связи всё также же и нет.
Было принято решение отправить рассылку этой Лилии и сразу на все возможные аккаунты Microsoft
Как вы уже догадались обратной связи снова нет, как и на последующие.
Вывод
Да какой тут вывод, следите за состоянием и процессами на своём ПК и заводите песочницу для тестирования и анализа обновлений, кто его знает, какую следующую пакость сотворят компании, кладующие болт на своих пользователей.
Целью данной публикации хотелось бы понять масштаб проблемы или его отсутствия.
Можете кидать тапками, искать орфографию и прочие полезные вещи, но было бы здорово услышать конструктив и понять, на каких этапах мной были допущены ошибки и что я пропустил.
Берегите себя и своих близких
P.S.
В версиях MS VS 2012 и 2022 бэкдур не найден.