Предыстория
Изначально данное мини-расследование было опубликовано на пикабу, но получив отклик аудитории, читающей по диагонали, не имеющей конструктива и любящей только котиков не понял мой посыл (хотя пост и был написал в лёгком стиле), решил поделиться здесь, при этом вырезав "воду" и дополнив данными.
Кратко
Обнаружен BackDoor.Dandle.5 в ServiceHub.RoslynCodeAnalysisServiceS.exe, который является компонентом MS VS 2019.
Сообщено в поддержку Microsoft.
Взято в работу с обещанием обратной связи и выяснения обстоятельств.
Тикет закрыт через неделю по причине "Попытка фишинга через форму обратной связи".
В течении двух месяцев я вновь пытался достучаться до поддержки, но обратного ответа я просто не получил.
С чего все начиналось
В обычный будничный вечер попивая кофе и размышляя над очередной задачей обнаруживаю подключение к рабочему столу и перехват управления курсором.
В спешке отключаю Wi-Fi соединение и начинаю думать. Antimalwarebytes молчал как рыба, а журналы Windows не зафиксировали ничего подозрительного. В этот вечер пожалел, что отсутствует вообще какой-либо анализатор трафика (да и ранее не задумывался о его необходимости).
Анализ проблемы
Первым делом с другого компьютера был загружен чистильщик Dr.Web CureIt! и запущен на сканирование.
Результат меня удивил: в файле ServiceHub.RoslynCodeAnalysisServiceS.exe был обнаружен BackDoor.Dandle.5. Который является компонентом IDE Microsoft Visual Studio 2019 версия 16.11.21
Почитав информацию о данном недуге возник вопрос, а может ли данная проблема иметь массовый характер или ограничена только мной. К сожалению, Интернет ответа на данный вопрос мне не дал, поэтому данный анализ был приведён в офисе и получены результаты, к сожалению неутешительные.
В подавляющем большинстве в версиях 16.11.16, 16 11.18, 16.11.21 проблема имела место быть, а в версиях 16.11.09 и ниже проблема не наблюдалась, остальные версии не проверялись.
В MS VS 2012 и 2022 бэкдур не обнаружен, это подтвердили несколько неравнодушных пользователей пикабу, как и MS VS 2019 версию 16.11.05
Решение проблемы
К сожалению, не так просто получилось её решить, для этого есть несколько причин:
1) бэкдур обнаруживается чистильщиком только тогда, когда запущена сама IDE и попытка проверить его на Virustotal неуспешна, даже сам доктор молчит
2) Попытка его убить, переместить, заменить на незаражённые файлы, успехом не увенчались, он снова и снова возрождался как феникс.
Помог только полный откат на версию 16.11.09, не считаю его идеальным, но, к сожалению, сил с ним бороться больше не было.
Обращение в поддержку
Обычно мы привыкли ругать тех. поддержки наших сервисов, но тех. поддержка Microsoft своим отношением смогла перебить даже ягодок.
Во первых она осуществляется строго по подписке, если у вас community, то скорее всего даже не получиться никому написать, можете убедиться в этом сами или я чего не знаю.
Тогда было принято решение зайти со стороны отсутствия входа в аккаунт, так как при попытке входа в меня выкидывало ошибку 715-123150.
Через пару дней работа кабинета действительно восстановился, но причину его блокировки назвать отказались, оставил это на их совести и попытался выяснить источник основной проблемы
Далее всё стандартно, запросили детали:
В письме были подробно описаны шаги обнаружения, методы борьбы, которые я пытался использовать, а также прикрепленв заражённые файлы приложены, оператор предупреждён. Странное началось дальше, когда с некоторой периодичностью я стал получать сообщения о том, что тикет будет закрыт, по причине отсутствия деталей с моей стороны.
Как оказалось при каждой попытке отправить файл, почему-то именно в папку спам летели письма от Microsoft, что письмо не было доставлено, по причине подозрительных файлов в письме.
Тогда я запросил альтернативные способы отправки файлов, но меня добавили в белый список и после этого письмо было доставлено до конечного адресата.
Информация передана, ждём результат и.. получаем через некоторое время письмо счастья, что тикет закрыт по причине "попытка фишинга при использовании формы обратной связи".
Такое удивление и обиду я не испытывал давно. Далее было множество попыток оспорить, связаться с поддержкой, в том числе через чат на официальном сайте и выяснить хоть что-то.
Все сообщения приводить не буду, писал на разные адреса, как в рамках одного письма с указанием копий, так и по отдельности.
Как вы понимаете, раз статья здесь, то проблема актуальна и хотелось бы ей поделиться, а также получить больше результатов.
Итог
Хотелось бы понять масштаб или его отсутствие.
Для этого неравнодушных товарищей прошу, по возможности, уделить немного времени и проверить свои IDE и, если проблема носит действительно массовый характер, то найти метод её решения, так как помощи от технической поддержки вряд ли дождёмся.
Ответы на часто задаваемые вопросы:
1) компьютер домашний и офисная сеть ни физически ни виртуально не подключены, вариант заражения между ними невозможен;
2) в офисе стоит песочница, МЭ и другие средства защиты, но как говорил ранее вирус можно обнаружить только при отладке (и иногда при запущенной IDE).
Дополнение:
Ссылка на VirusTotal: https://www.virustotal.com/gui/file/46013f968eb685415f1aad0a006ae85ff21aa54bd89417d5c5ec388da662fac2/summary
