Предыстория
Изначально данное мини-расследование было опубликовано на пикабу, но получив отклик аудитории, читающей по диагонали, не имеющей конструктива и любящей только котиков не понял мой посыл (хотя пост и был написал в лёгком стиле), решил поделиться здесь, при этом вырезав "воду" и дополнив данными.
Кратко
Обнаружен BackDoor.Dandle.5 в ServiceHub.RoslynCodeAnalysisServiceS.exe, который является компонентом MS VS 2019.
Сообщено в поддержку Microsoft.
Взято в работу с обещанием обратной связи и выяснения обстоятельств.
Тикет закрыт через неделю по причине "Попытка фишинга через форму обратной связи".
В течении двух месяцев я вновь пытался достучаться до поддержки, но обратного ответа я просто не получил.
С чего все начиналось
В обычный будничный вечер попивая кофе и размышляя над очередной задачей обнаруживаю подключение к рабочему столу и перехват управления курсором.
В спешке отключаю Wi-Fi соединение и начинаю думать. Antimalwarebytes молчал как рыба, а журналы Windows не зафиксировали ничего подозрительного. В этот вечер пожалел, что отсутствует вообще какой-либо анализатор трафика (да и ранее не задумывался о его необходимости).
Анализ проблемы
Первым делом с другого компьютера был загружен чистильщик Dr.Web CureIt! и запущен на сканирование.
Результат меня удивил: в файле ServiceHub.RoslynCodeAnalysisServiceS.exe был обнаружен BackDoor.Dandle.5. Который является компонентом IDE Microsoft Visual Studio 2019 версия 16.11.21
![Результат сканирования Результат сканирования](https://habrastorage.org/getpro/habr/upload_files/31a/663/9fd/31a6639fda3fd0053c5b4b9f8c78359f.png)
Почитав информацию о данном недуге возник вопрос, а может ли данная проблема иметь массовый характер или ограничена только мной. К сожалению, Интернет ответа на данный вопрос мне не дал, поэтому данный анализ был приведён в офисе и получены результаты, к сожалению неутешительные.
![Один из результатов сканирования офисных ПК Один из результатов сканирования офисных ПК](https://habrastorage.org/getpro/habr/upload_files/857/048/d50/857048d509b1059541a6ea7deabfb94e.png)
![Версия "зараженной" студии Версия "зараженной" студии](https://habrastorage.org/getpro/habr/upload_files/cf2/2d2/fde/cf22d2fde5eed51d1a080509e8bddcc0.png)
В подавляющем большинстве в версиях 16.11.16, 16 11.18, 16.11.21 проблема имела место быть, а в версиях 16.11.09 и ниже проблема не наблюдалась, остальные версии не проверялись.
В MS VS 2012 и 2022 бэкдур не обнаружен, это подтвердили несколько неравнодушных пользователей пикабу, как и MS VS 2019 версию 16.11.05
Решение проблемы
К сожалению, не так просто получилось её решить, для этого есть несколько причин:
1) бэкдур обнаруживается чистильщиком только тогда, когда запущена сама IDE и попытка проверить его на Virustotal неуспешна, даже сам доктор молчит
![](https://habrastorage.org/getpro/habr/upload_files/f08/50f/e0e/f0850fe0efb38744930b4d4a1fc4a3a2.jpg)
2) Попытка его убить, переместить, заменить на незаражённые файлы, успехом не увенчались, он снова и снова возрождался как феникс.
Помог только полный откат на версию 16.11.09, не считаю его идеальным, но, к сожалению, сил с ним бороться больше не было.
Обращение в поддержку
Обычно мы привыкли ругать тех. поддержки наших сервисов, но тех. поддержка Microsoft своим отношением смогла перебить даже ягодок.
Во первых она осуществляется строго по подписке, если у вас community, то скорее всего даже не получиться никому написать, можете убедиться в этом сами или я чего не знаю.
Тогда было принято решение зайти со стороны отсутствия входа в аккаунт, так как при попытке входа в меня выкидывало ошибку 715-123150.
![](https://habrastorage.org/getpro/habr/upload_files/398/41f/b51/39841fb51f3e019dfa900171b679ef59.png)
Через пару дней работа кабинета действительно восстановился, но причину его блокировки назвать отказались, оставил это на их совести и попытался выяснить источник основной проблемы
![](https://habrastorage.org/getpro/habr/upload_files/bbf/f8d/fb8/bbff8dfb8d10613a1081f60327fa6d13.jpg)
Далее всё стандартно, запросили детали:
![](https://habrastorage.org/getpro/habr/upload_files/c8d/921/d50/c8d921d50eb8cfc3faee85387a5dfbc8.jpg)
В письме были подробно описаны шаги обнаружения, методы борьбы, которые я пытался использовать, а также прикрепленв заражённые файлы приложены, оператор предупреждён. Странное началось дальше, когда с некоторой периодичностью я стал получать сообщения о том, что тикет будет закрыт, по причине отсутствия деталей с моей стороны.
![](https://habrastorage.org/getpro/habr/upload_files/40f/284/4bb/40f2844bb6eea5d891ce38dabfc70c34.jpg)
Как оказалось при каждой попытке отправить файл, почему-то именно в папку спам летели письма от Microsoft, что письмо не было доставлено, по причине подозрительных файлов в письме.
![](https://habrastorage.org/getpro/habr/upload_files/243/5b3/abb/2435b3abb0c43ba1a9c3042848e95f63.jpg)
Тогда я запросил альтернативные способы отправки файлов, но меня добавили в белый список и после этого письмо было доставлено до конечного адресата.
![](https://habrastorage.org/getpro/habr/upload_files/d16/a54/a8a/d16a54a8a361f694c817836db673bd8e.jpg)
Информация передана, ждём результат и.. получаем через некоторое время письмо счастья, что тикет закрыт по причине "попытка фишинга при использовании формы обратной связи".
![](https://habrastorage.org/getpro/habr/upload_files/a0c/6dd/02e/a0c6dd02eb770f559929734ad75256c2.jpg)
Такое удивление и обиду я не испытывал давно. Далее было множество попыток оспорить, связаться с поддержкой, в том числе через чат на официальном сайте и выяснить хоть что-то.
![](https://habrastorage.org/getpro/habr/upload_files/5f9/81f/0b2/5f981f0b277a2a780b0a9875d519f781.jpg)
![](https://habrastorage.org/getpro/habr/upload_files/d0e/b82/280/d0eb82280b23de6a734397c396f598c4.jpg)
Все сообщения приводить не буду, писал на разные адреса, как в рамках одного письма с указанием копий, так и по отдельности.
Как вы понимаете, раз статья здесь, то проблема актуальна и хотелось бы ей поделиться, а также получить больше результатов.
Итог
Хотелось бы понять масштаб или его отсутствие.
Для этого неравнодушных товарищей прошу, по возможности, уделить немного времени и проверить свои IDE и, если проблема носит действительно массовый характер, то найти метод её решения, так как помощи от технической поддержки вряд ли дождёмся.
Ответы на часто задаваемые вопросы:
1) компьютер домашний и офисная сеть ни физически ни виртуально не подключены, вариант заражения между ними невозможен;
2) в офисе стоит песочница, МЭ и другие средства защиты, но как говорил ранее вирус можно обнаружить только при отладке (и иногда при запущенной IDE).
Дополнение:
Ссылка на VirusTotal: https://www.virustotal.com/gui/file/46013f968eb685415f1aad0a006ae85ff21aa54bd89417d5c5ec388da662fac2/summary