Русские продали "дыру" в Windows

[SDA]

"Лаборатория Касперского" считает, что русские хакеры причастны к продаже опасного эксплойта для уязвимости в различных ОС Windows.

26 декабря 2005 года несколько антивирусных компаний получили от своих пользователей, агентов, а также систем автоматического поиска и сбора подозрительных файлов несколько загадочных WMF-файлов. При их анализе выяснилось, что в них содержится исполняемый код, предназначенный для загрузки файлов с различных сайтов, известных в качестве распространителей adware/spyware-программ. Исполнение вредоносного кода осуществлялось при попытке открытия WMF-файла, а также при некоторых других действиях, например, при открытии с помощью «Проводника» каталога, в котором находился файл, при попытке просмотра свойств файла. Выполнение кода происходило на всех существующих версиях операционной системы Windows (включая Windows 95/9 со всеми установленными обновлениями."Мы не знаем, кто первым обнаружил эту уязвимость, мы только знаем о тех людях, которые были причастны к распространению эксплойта и его модификации. Эти данные, плюс явный «русский след» во всей этой истории, позволяют сделать вывод о том, почему же уязвимость не была продана ими одной из компаний, занимающихся «поиском» уязвимостей, например eEye или iDefence. Во-первых, эти люди сами не обладали точным представлением о принципах работы уязвимости, во-вторых, они изначально были ориентированы на продажу эксплойта киберкриминальным кругам, и в-третьих, сообщения о продаже эксплойта не попали в поле зрения компаний-исследователей, поскольку, как уже было отмечено, в основном эксплойт предлагался на русском черном рынке", — говорится в отчете антивирусной компании.

В интернете стали появляться все новые и новые троянские программы, использующие данную «дыру». За одну неделю было обнаружено более тысячи вредоносных «картинок». Были обнаружены несколько червей, а также ряд массовых спам-рассылок, в которых также использовался вредоносный код эксплойта.

Microsoft медлила с выпуском заплатки, пыталась позиционировать проблему как «критическую, но не имеющую зафиксированной масштабной вирусной эпидемии». В результате компания выпустила обновление только 6 января 2006 года.

Как считают эксперты «Лаборатории Касперcкого», скорее всего, уязвимость была найдена неизвестным автором примерно 1 декабря 2005 года. Еще несколько дней ушло на создание примера эксплойта, позволяющего выполнить произвольный код в системе. Примерно с середины декабря на нескольких специализированных сайтах в интернете начали появляться предложения о продаже данного эксплойта. Судя по всему, этим занимались несколько (2–3) конкурирующих группы хакеров из России. Что интересно, зачастую продавцы сами не знали сути уязвимости. Эксплойт предлагался для покупки по цене в $4 тыс. Одними из первых покупателей стали представители криминального adware/spyware-бизнеса. От них же впоследствии и произошла утечка эксплойта.
CNews.ru

[Shu_b]

Слухи о продаже эксплоита WMF файлов за 4000$

В Интернет, на сайтах крупных зарубежных электронных СМИ начали появляться слухи о факте продажи в декабре 2005 года эксплоита, использующего уязвимость обработчика WMF (Windows Metafile) файлов, за 4000 долларов США. Самое интересное, что продажу эксплоита приписывают нескольким хакерским группам из России. По заявлению, CNET News.com инициатором таких слухов является "Лаборатория Касперского".
Наши наблюдения показывают, что факта продажи эксплоита не было, а в Интернете можно найти только несколько схожих предложений, но там цена эксплоита не превышает 100 долларов США, да и рассчитаны эти предложения скорей всего на новичков в сфере компьютерной безопасности.
Делая такие громкие заявления "Лаборатория Касперского", возможно, хотела показать угрозу придуманного ими российского хакерского криминалитета, которому зарубежные СМИ сразу приписали атаку на Парламент Великобритании.
Неужели, в "Лаборатории Касперского" решили устроить себе такую "дешевую" рекламу, объединив в одной новости свое имя, название наиболее используемой уязвимости и степень вирусной угрозы, которой подвергся Парламент Великобритании?!

uinc.ru; CNET News.com http://news.com.com/2100-7349_3-6034591.html