Index · Правила · Поиск· Группы · Регистрация · Личные сообщения· Вход

Список разделов Компьютерная безопасность, коды, доступы и т.д.
 
 
 

Раздел: Компьютерная безопасность, коды, доступы и т.д. Новое поколение авторанов на флэшках. 

Создана: 24 Августа 2010 Втр 21:50:24.
Раздел: "Компьютерная безопасность, коды, доступы и т.д."
Сообщений в теме: 9, просмотров: 3011

  1. 24 Августа 2010 Втр 21:50:24
    Казалось бы, авторанами уже никого не удивить. Антивирусники худо/бедно, но ловят их. Твиками реестра автозапуск тоже отключается (настоящие джедаи давно юзают волшебную комбинацию @SYS:DoesNotExist для файлов autorun.inf).
    И вот в конце июля антивирусные компании сообщают о трояне Stuxnet http://news.drweb.com/show/?i=1229&lng=ru&c=5. У него много интересных особенностей (например, заражение SCADA-систем управления технологическими процессами; установка вредоносных компонент, подписанных подлинными сертификатами Realtec и JMicron), но одна примечательна особенно: для проникновения используется неизвестная ранее уязвимость, основанная на некорректном парсинге иконки ярлыка (lnk-файлов). Для запуска вредоносного кода достаточно просто увидеть саму иконку. При просмотре(!) заражённого ярлыка в Проводнике или любом другом файловом мененджере, отображающем ассоциированные иконки (например,ТоталКоммандере), автоматически запускается DLL, на которую этот самый ярлык ссылается. Никаких действий пользователя, кроме как зайти в папку с зараженным .lnk файлом, не требуется. Таким образом, специально сформированный lnk-файл на флэшке способен поразить систему даже с отключенным автозапуском. Более того, если ярлык вложен в документ офиса, то при открытии этого документа и попытке отобразить иконку ярлыка, вредоносный код также запустится.

    За обработку иконок в винде отвечает системная библитека, прописанная в ключе реестра HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler. По умолчанию, это Shell32.dll. Согласно бюллетеню MS10-046 [внешняя ссылка] уязвимы все версии винды от 2000 до семерки и сервера2008. Заплаток для 2000/хр_sp2 нет, ввиду окончания их поддержки.
    В качестве кардинальной меры до установки заплатки, можно отключить показ всех иконок в винде, отредактировав ключ реестра согласно рекомендациям бюллетеня. Либо довериться своему любимому антивирусу.

    Таким образом, Stuxnet положил начало новому классу авторанов - LNK/Autostart ([внешняя ссылка]).

    Стоит также добавить, что рабочий эксплоит существует и опубликован в свободном доступе - [внешняя ссылка].
  2. 24 Августа 2010 Втр 22:03:56
    Люто. Скоро понесут компы.
  3. 24 Августа 2010 Втр 22:35:39
    ставьте системы семейства линукса и будет вам щасье Смайлик :-)
  4. 25 Августа 2010 Срд 2:30:18
    А что этот вирус делает-то?
  5. 25 Августа 2010 Срд 2:55:05
    Yehat писал : А что этот вирус делает-то?


    Беглец из Мезозоя писал(а) :И вот в конце июля антивирусные компании сообщают о трояне Stuxnet http://news.drweb.com/show/?i=1229&lng=ru&c=5


    Теоретически он может делать все что угодно.
  6. 25 Августа 2010 Срд 2:56:30
    Yehat писал : А что этот вирус делает-то?

    Написано же. При взгляде на иконку выбивает глаза. Поэтому рекомендуется при открытии новой папки закрывать один глаз.
  7. 25 Августа 2010 Срд 6:36:37
    А наши горячо любымые ноды, КИСы, авасты научились отлавливать эту гадость? Как я понял на хрюшу сервиспак 3 будет заплатка?
  8. 25 Августа 2010 Срд 9:04:09
    Заплатка KB2286198 для поддерживаемых систем доступна -
    http://www.microsoft.com/downloads/en/results.aspx?freetext=KB2286198&displaylang=en&stype=s\_basic&pf=true

    Касперский/НОД/ДрВэб видят заразу при попытке скачать архив с эксплоитом.
  9. 25 Августа 2010 Срд 9:35:51
    Если по каким-то причинам заплатку нельзя поставить, то есть альтернативное решение -
    http://forum.drweb.com/index.php?showtopic=294309&view=findpost&p=433324.

    Компанией Sophos выпущена бесплатная утилита, заменяющая стандартный хэндлер иконок на альтернативный -
    [внешняя ссылка]
    Заявлена поддержка 32- и 64-битных ОС XP, Vista, Seven.