Система контроля за сотрудниками компании Samsung - просьба покопать

На всех машинах стоит этот комбайн написанный самим Samsung. Без запущенного сервиса gateman не работает интернет (проходят только ICMP, всё остальное дропится). Прога инжектится в каждый процесс, шпионит за пользователем, прибивает неугодные процессы - в общем подло вредит. Покопайте на досуге кому интересно. Если кто даст способ весь этот комбайн снести, оставив только стучалку о том, что всё работает - буду премного благодарен!

 

что-то файл не могу приложить

 

Ссылка - http://www.uafile.net/file/6462/incops3-rar.html

 

а админам не покажется странным, что стучалка стучит, а данные не ходють?)

 

Если не работает стучалка свитч дропает IP траффик в интернет и во внутреннюю сеть. Соответственно от этого шпионского комбайна нужна только она =)

 

а варьный способ использовать можно? те либо стучалку в варю, либо вас.

 

С варьным интересно, но предполагаю, что комбайн отловит варю.

 

dMetrius

что значит "предполагаю"?? мы с вами в гадалки играем? или мне ваш вирус себе ставить, что проверить ради теоретического интереса?

ну и кроме вари есть виртуалок. кто не пробует, а только предполагает, тому не оплачивают биды

 

Завтра постараюсь попробовать. Всё-таки это рабочее место =)

 

dMetrius

так то лучше.
есть 2 варианта
1) ставите варю вашу ось и все свои дела и проги делаете на обвареной оси.
2) ставите в варю вашу рабочую ось, ваши рабочие проги включая ваш вирус и пусть он там наблюдает сколько ему влезет. все не подлежащее учету, ессно делаете снаружи

и, кста, проверить можно и дома. ставите дома в варю ось + вирус и смотрите/снифаете как оно пошло. если он обнаружит варю - меняете виртуалку и снова пробуете. итд

 

Откопал установочный дистр (4.5 Mb) - http://www.uafile.net/file/6490/PCMANIII-v3-43--exe.html

p.s. id сотрудника и пасс (где-то в комбайне они вносятся) по понятным причинам дать не могу.
p.p.s. внутри используюся сетки 100.0.0.0/8 - 106.0.0.0/8
p.p.p.s. кобайн должен стучаться куда-то в лондон на свой сервер аутентификации

 

возможно, вам стоит снять бэкап имаж вашего рабочего места, развернуть его у вас дома в песочнице и поэкспериментировать, не трогая пока ничего на работе. и пусть связывается хоть с марсом. если все пройдет гладко, то можно будет повторить эксперимент и на работе. желательно, сперва, не трогая рабочий винт, скам, принесши и подключимши домашний

 

Виртуалку проверю, но мне интересно как она работает и очень интересно её убрать нафиг. Почитал статью ms-rem'а про перехват API. В каждый процесс инжектится icdcnl.dll. Теоретически - если её убрать, то некоторых подлых действий кобайн делать уже не сможет. Где покопать на предмет хуков CreateProcess или прочих API, где эти хуки могут быть установлены? Как можно убрать этот dll-inject?

Кто-нибудь из скачавших что-нибудь накопал уже?

 

скачай Rku.

 

Виртуалки отлетают - при регистрации пользователя комбайн привязывается к железу.

 

Неужели на всём васме нету специалистов способных эту дрянь победить?
Вознаграждение $50 USD (WebMoney, PokerStars player transfer =) )

 

давайте сделаем двести - и я напишу вам псевдоотстукиватель ¦)

 

За 200 я и с этой дрянью поработаю +)

 

Comer_
из под халата с надписью Comer_ показался Great

 

dMetrius

прикольно.. сами же и признаете предложенные вами условия недостойными..

и что вам от привязки к железу? ну привяжется оно к железу виртуальному. и что? кроме того, был еще вариант о запихивании всего, что надо скрыть в виртуалку. с точки зрения вашего сниффера это будет просто еще один процесс

ну и еще, из простых путей.
трой же этот должон слать сигнал типа "в багдаде все спокойно" кнопки нажимаются, косынка закрыта, музыка/фильмы не качаются итд. почему б не попробовать отснифать сеть за несколько дней примерной работы, а потом не крутить его в цикле? я ж так понял, что в деле мы эту бяку все равно не увидим - ваши иды/пасы не дадут