Konstantin. 125 Опубликовано 21 июля, 2010 Share Опубликовано 21 июля, 2010 (изменено) Костин Раю Эксперт «Лаборатории Касперского» Вчера нашими коллегами из ESET была обнаружена новая версия Stuxnet. У этой вредоносной программы драйвер был подписан еще одной доверенной стороной - корпорацией JMicron Technology. ( http://www.securelist.com/ru/images/pictur...lblog/32851.png ) Компания JMicron является достаточно известным производителем аппаратного обеспечения, и у меня самого было три-четыре компьютера с компонентами JMicron. Первый RT-сертификат вызывал подозрение, однако еще один украденный сертификат вызывает ряд интересных вопросов. Возможно, что и JMicron, и Realtek были заражены троянской программой типа ZeuS, крадущей цифровые сертификаты. Заполучив сертификаты, киберпреступники затем перепродали их на рынке или же использовали их для того, чтобы подписать драйверы Stuxnet. Честно говоря, когда я впервые увидел, что троянские программы крадут цифровые сертификаты, это не произвело на меня сильного впечатления. Теперь же, если принять во внимание историю с Stuxnet, это кое-что объясняет. Источник: Securelist Изменено 21 июля, 2010 пользователем Konstantin. Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 528 Опубликовано 22 июля, 2010 Share Опубликовано 22 июля, 2010 Это ж такие файлы будут попадать в доверенную группу в Контроле программ. Настройки по-умолчанию уже не так безопасны. Ссылка на сообщение Поделиться на другие сайты
Nikolay Lazarenko 439 Опубликовано 4 августа, 2010 Share Опубликовано 4 августа, 2010 (изменено) Это ж такие файлы будут попадать в доверенную группу в Контроле программ. Настройки по-умолчанию уже не так безопасны. Сертификат был отозван,заблокирован после данного инцидента viruslist надо читать А вот как проснулись(!) Др.Веб : Trojan.Stuxnet затмил блокировщиков. Жаркий вирусный июль 2010 года03.08.2010 3 августа 2010 года Июль 2010 года ознаменовался не только экстремальной жарой, но и появлением и широким распространением троянцев Trojan.Stuxnet. Эти вредоносные программы используют альтернативный способ запуска со съемных носителей, а также применяют украденные цифровые подписи известных производителей ПО. Использование буткит-технологий становится нормой для вредоносных программ. В то же время блокировщики Windows, столкнувшись с противодействием, сократили темпы своего распространения, и сегодня интернет-мошенники пытаются найти альтернативу платным СМС-сообщениям. Trojan.Stuxnet нашел «дыру» в Windows и проникает через ярлыки Июльской «новинкой» летнего сезона, заставившей антивирусную индустрию в который раз серьезно мобилизовать свои ресурсы, стала вредоносная программа нового типа, которая по классификации Dr.Web получила наименование Trojan.Stuxnet.1. Ее распространение оказалось напрямую связано с ранее неизвестной уязвимостью операционной системы Windows. Этот троянец принес с собой несколько новинок в области обхода защитных механизмов Microsoft и уже успел продемонстрировать всю серьезность своих намерений — одним из первых зафиксированных применений Trojan.Stuxnet.1 стал промышленный шпионаж. Троянец устанавливает в систему два драйвера, один из которых является драйвером-фильтром файловой системы, скрывающим наличие компонентов вредоносной программы на съемном носителе. Второй драйвер используется для внедрения зашифрованной динамической библиотеки в системные процессы и специализированное ПО для выполнения основной задачи. Авторы нового троянца преподнесли пользователям сразу несколько неприятных сюрпризов. Во-первых, уже упомянутая эксплуатация уязвимости Windows: вредоносная программа использует «слабое звено» в алгоритме обработки содержимого ярлыков. Следует отметить, что корпорация Microsoft оперативно отреагировала на обнаружение этой уязвимости. По информации, опубликованной разработчиком ОС Windows, ей подвержены как 32-битные, так и 64-битные версии, начиная с Windows XP и заканчивая Windows 7 и Windows Server 2008 R2. Злоумышленники могут использовать эту «брешь» и для удаленного запуска вредоносных программ. Кроме того, опасный код может интегрироваться в документы некоторых типов, предполагающих наличие в них встроенных ярлыков, и распространяться посредством эксплуатации обнаруженной уязвимости. 2 августа 2010 года компания Microsoft выпустила критический патч для всех подверженных уязвимости версий Windows. Для тех систем, в которых настроено автоматическое обновление, патч установится автоматически, и для его применения потребуется перезагрузка компьютера. «Сюрпризы» от авторов Trojan.Stuxnet на этом не закончились. Драйверы, которые троянец устанавливает в систему, снабжены цифровыми подписями, украденными у производителей легального программного обеспечения. В июле стало известно об использовании подписей, принадлежащих таким компаниям, как Realtek Semiconductor Corp. и JMicron Technology Corp. Злоумышленники используют подпись для «тихой» установки в целевую систему. Стоит заметить, что, кроме драйверов, которые подписываются для незаметной установки, подписан также и вредоносной файл, запускающийся с помощью эксплойта уязвимости Windows Shell со съемных носителей. Но данная подпись практически сразу после первой же активизации троянца перестает действовать: встроенный счетчик заражений постоянно модифицирует исполняемый файл, в результате чего подпись приходит в негодность. У Trojan.Stuxnet.1 довольно быстро появились многочисленные последователи, использующие указанную уязвимость Windows. Все подобные ярлыки определяются Dr.Web как Exploit.Cpllnk. Всего за несколько дней вредоносные программы, использующие для своего запуска такие ярлыки, возглавили Топ-20 вирусных программ, обнаруженных в июле на компьютерах пользователей, а Trojan.Stuxnet.1 успел оказаться на шестом месте этого списка. В настоящее время идет массированное распространение вредоносных программ, эксплуатирующих обнаруженную уязвимость. Вероятно, оно продлится ещё некоторое время до установки только что выпущенного Microsoft патча на большинство систем. Отреагировали на появление новой угрозы и специалисты компании «Доктор Веб» — в вирусную базу были оперативно добавлены процедуры лечения зараженных троянцем систем. Что-то я не нашёл ссылку на скачивание патча... придётся его с обновлениями ОС ждать...если у кого они качаются...вообще... Изменено 4 августа, 2010 пользователем Nikolay Lasarenko Ссылка на сообщение Поделиться на другие сайты
rabbit 37 Опубликовано 4 августа, 2010 Share Опубликовано 4 августа, 2010 придётся его с обновлениями ОС ждать... а разве оно уже не пришло? http://www.microsoft.com/technet/security/...n/MS10-046.mspx Ссылка на сообщение Поделиться на другие сайты
Nikolay Lazarenko 439 Опубликовано 4 августа, 2010 Share Опубликовано 4 августа, 2010 EzzO/M Кому-то может и не пришёл этот патч в комп...хочется скачать его отдельно,чтоб своих родственников и друзей обезопасить от этой нечисти Ссылка на сообщение Поделиться на другие сайты
Nikolay Lazarenko 439 Опубликовано 5 августа, 2010 Share Опубликовано 5 августа, 2010 (изменено) Найдены ссылки для скачивания критических патчей против данной уязвимости Windows XP Service Pack 3:http://www.microsoft.com/downloads/details...2B-90F2727894FD Windows XP Professional x64 Edition Service Pack 2: http://www.microsoft.com/downloads/details...65-42A702E2CC0D Windows Server 2003 Service Pack 2: http://www.microsoft.com/downloads/details...EE-2CA216696B09 Windows Server 2003 x64 Edition Service Pack 2: http://www.microsoft.com/downloads/details...07-2C5A37F13E8E Windows Server 2003 with SP2 for Itanium-based Systems: http://www.microsoft.com/downloads/details...05-B54E4F3B6580 Windows Vista SP1/SP2: http://www.microsoft.com/downloads/details...BD-F64DB229EE66 Windows Vista x64 Edition SP1/SP2: http://www.microsoft.com/downloads/details...0F-660200BAA229 Windows Server 2008 for 32-bit Systems (опционально с SP2): http://www.microsoft.com/downloads/details...54-F33127B1C309 Windows Server 2008 for x64-based Systems (опционально с SP2): http://www.microsoft.com/downloads/details...B2-82E84272AAF2 Windows Server 2008 for Itanium-based Systems (опционально с SP2): http://www.microsoft.com/downloads/details...71-A997DD83DE0B Windows 7 for 32-bit Systems: http://www.microsoft.com/downloads/details...4A-8BD2D70D0A0A Windows 7 for x64-based Systems: http://www.microsoft.com/downloads/details...C7-8CC8B00B4395 Windows Server 2008 R2 for x64-based Systems: http://www.microsoft.com/downloads/details...B0-4DBB8180E81F Windows Server 2008 R2 for Itanium-based Systems: http://www.microsoft.com/downloads/details...28-0B81F7B72670 Изменено 5 августа, 2010 пользователем Nikolay Lasarenko Ссылка на сообщение Поделиться на другие сайты
_Strannik_ 766 Опубликовано 5 августа, 2010 Share Опубликовано 5 августа, 2010 Много шуму ещё наделает эта история...Nikolay Lasarenko а за ссылки спасибо.. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти