Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 40.

Компания «ВирусБлокАда» сообщает об обнаружении вредоносной программы, использующей новую уязвимость для своего распространения.

  1. #1
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Groft
    Регистрация
    26.11.2007
    Сообщений
    510
    Вес репутации
    653

    Компания «ВирусБлокАда» сообщает об обнаружении вредоносной программы, использующей новую уязвимость для своего распространения.

    Модули данной программы были впервые обнаружены специалистами компании «ВирусБлокАда» ( www.anti-virus.by ) 17 июня 2010 года и добавлены в антивирусные базы как Trojan-Spy.0485 и Malware-Cryptor.Win32.Inject.gen.2. В процессе анализа было обнаружено, что вирус распространяется через USB-накопители. При этом заражение происходит не известным ранее способом через файл autorun.inf, а через уязвимость в обработке lnk-файлов. Таким образом, пользователю достаточно открыть инфицированный накопитель в Microsoft Explorer или в любом другом файловом менеджере, который умеет отображать иконки в lnk-файлах (к примеру, Total Commander), чтобы произошло заражение системы, и вредоносная программа получила управление.

    Получив управление, вредоносная программа заражает систему, внедряя в нее два драйвера: mrxnet.sys и mrxcls.sys. Эти файлы были добавлены в антивирусные базы соответственно как Rootkit.TmpHider и SScope.Rookit.TmpHider.2. Особенность данных драйверов состоит в том, что они подписаны цифровой подписью, сертификат на которую выдан известной компании Realtek Semiconductor Corp. ( www.realtek.com ). После установки драйверов происходит загрузка вредоносного кода в системные процессы, а также скрываются следы присутствия инфицированных файлов на USB-накопителе. Поэтому пользователь и не видит “лишние” файлы на флэшке.

    Таким образом, данную вредоносную программу можно отнести к категории наиболее опасных, т.к. в ней используются технологии, представляющие риск для заражения многих компьютеров и начала вирусной эпидемии.

    После того, как нашими специалистами были добавлены записи в антивирусную базу на описанные выше вредоносные программы, в Технической Поддержке компании было зарегистрировано множество обращений с симптомами, указывающими на заражение Rootkit.TmpHider и SScope.Rookit.TmpHider.2 в нескольких точках мира

    Источник

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.10.2008
    Сообщений
    79
    Вес репутации
    76
    а что делать тем у кого автозапуск отключен через политики, реестр и твики + используется Far Manager 2.x ? они опять в пролете?
    (срочно добавляет .lnk в список запрещенных для автозагрузки)

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1814
    Цитата Сообщение от Br0m Посмотреть сообщение
    (срочно добавляет .lnk в список запрещенных для автозагрузки)
    Не поможет.
    Цитата Сообщение от Groft Посмотреть сообщение
    через уязвимость в обработке lnk-файлов.
    Т.е. просмотр флешки через проводник или тоталкомандер (или другой файл-менеджер, который показывает картинки ярлыков) вызывает заражение.
    The worst foe lies within the self...

  5. #4
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    05.12.2009
    Адрес
    Кострома
    Сообщений
    21
    Вес репутации
    35
    Цитата Сообщение от Kuzz Посмотреть сообщение
    Не поможет.

    Т.е. просмотр флешки через проводник или тоталкомандер (или другой файл-менеджер, который показывает картинки ярлыков) вызывает заражение.
    А можно подробнее, как именно заражается система через *.lnk?
    То, что не убивает нас, делает нас сильнее!

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    740
    Через уязвимость в винде. Говорят, уязвимы все, включая вин7 со всеми патчами.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1814
    Цитата Сообщение от g0dl1ke Посмотреть сообщение
    А можно подробнее, как именно заражается система через *.lnk?
    Подробней, вероятно, будет после выпуска соответствующего патча.
    Т.к. нормальной практикой является сначала уведомить производителя и дождаться выпуска заплатки, а лишь затем раскрывать суть уязвимости.
    Последний раз редактировалось Alexey P.; 12.07.2010 в 01:37.
    The worst foe lies within the self...

  8. #7
    Junior Member Репутация
    Регистрация
    01.11.2009
    Сообщений
    3
    Вес репутации
    30

    Question

    Произойдет ли заражение, если в Тотале выставить настройку, чтоб показывало только ассоциированные значки?

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SuperBrat
    Регистрация
    09.08.2006
    Адрес
    РК
    Сообщений
    1,194
    Вес репутации
    579
    Цитата Сообщение от Julevar Посмотреть сообщение
    Произойдет ли заражение, если в Тотале выставить настройку, чтоб показывало только ассоциированные значки?
    Нет, если автор корректно программировал эти радиокнопки.
    Опыт — это слово, которым люди называют свои ошибки.

  10. #9
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    05.12.2009
    Адрес
    Кострома
    Сообщений
    21
    Вес репутации
    35
    значит кто юзает тотал, спит спокойно.
    То, что не убивает нас, делает нас сильнее!

  11. #10
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Игорь
    Регистрация
    16.04.2008
    Сообщений
    198
    Вес репутации
    52
    А у меня старый Тотал, видимо нужно сделать так?

  12. #11
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Юльча
    Регистрация
    19.01.2009
    Адрес
    Ukraine
    Сообщений
    350
    Вес репутации
    360
    Цитата Сообщение от Игорь Посмотреть сообщение
    А у меня старый Тотал, видимо нужно сделать так?
    подозреваю что всё это особенности перевода:
    у Julevar настройка выглядит как "все ассоциированные"
    в моем тотале эта же настройка - "все связанные"
    а у вас судя по всему - "все"
    т.к. глянула в английском варианте у меня этот пунктик выглядит как "All"

    хотя "не показывать значки" тоже неплохой выбор )
    Последний раз редактировалось Юльча; 13.07.2010 в 22:46.
    Дуракам закон не писан, если писан, то не читан, если читан, то не понят, если понят, то не так...

  13. #12
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Игорь
    Регистрация
    16.04.2008
    Сообщений
    198
    Вес репутации
    52
    Да, действительно, тонкости перевода.

  14. #13
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Юльча
    Регистрация
    19.01.2009
    Адрес
    Ukraine
    Сообщений
    350
    Вес репутации
    360
    а при блокировке запуска исполняемых файлов с флешки уязвимость сработает?
    список назначенных типов файлов там же в политике..

    или нужно донастроить что-то особое? т.е. вручную добавить нужное расширение в назначенные типы файлов
    Последний раз редактировалось Юльча; 15.07.2010 в 08:54. Причина: исправлено
    Дуракам закон не писан, если писан, то не читан, если читан, то не понят, если понят, то не так...

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3708
    Юльча, это баг в винде, дыра.. Поэтому сработает
    Left home for a few days and look what happens...

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    740
    Угу, тем более в обсуждаемом случае не exe стартует, dll. Похоже, через regsvr32, но точно не знаю.

  17. #16
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Юльча
    Регистрация
    19.01.2009
    Адрес
    Ukraine
    Сообщений
    350
    Вес репутации
    360
    понимаю что дыра но не понимаю как работает.. вот и уточняю.

    что конкретно стартует с флешки?
    кроме особой иконки к ярлыку юзающей баг там ничего вредоносного нет?
    ну должен же быть способ
    Последний раз редактировалось Юльча; 15.07.2010 в 11:07.
    Дуракам закон не писан, если писан, то не читан, если читан, то не понят, если понят, то не так...

  18. #17

  19. #18
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Игорь
    Регистрация
    16.04.2008
    Сообщений
    198
    Вес репутации
    52
    Привыкаю работать без иконок, что бы быть готовым встретить отважную "шестёрку" на флешке.
    Последний раз редактировалось Игорь; 19.07.2010 в 17:39.

  20. #19
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1814
    Цитата Сообщение от Игорь Посмотреть сообщение
    Привыкаю работать без иконок
    сертификат уже отозвали, основные вендоры уже и *lnk и остальные компоненты находят, так то можно и (почти) расслабиться))))
    The worst foe lies within the self...

  21. #20
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1814
    The worst foe lies within the self...

Страница 1 из 2 12 Последняя

Похожие темы

  1. Ответов: 3
    Последнее сообщение: 24.01.2011, 17:55
  2. «Лаборатория Касперского» сообщает об обнаружении червя, заражающего аудиофайлы
    От Гриша в разделе Новости компьютерной безопасности
    Ответов: 15
    Последнее сообщение: 11.09.2008, 11:19
  3. Microsoft сообщает о пятикратном росте случаев распространения malware
    От HATTIFNATTOR в разделе Новости интернет-пространства
    Ответов: 1
    Последнее сообщение: 30.10.2007, 02:13

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00722 seconds with 16 queries