По словам исследователей Якуба Бречки (Jakub Beka) и Давида Матушека (David Matouek) из команды веб-ресурса Matousek.com, им удалось создать способ обхода защиты, встроенной в большинство популярных настольных антивирусных продуктов. Уязвимы продукты «Лаборатории Касперского», Dr.Web, Avast!, Sophos, ESET, McAffee, Symantec, Panda и т. д.
Методика такова: на вход антивируса посылается безвредный код, проходящий все защитные барьеры, но, прежде чем он начнет исполняться, производится его подмена на вредоносную составляющую. Понятно, замена должна произойти строго в нужный момент, но на практике всё упрощается благодаря тому, что современные системы располагают многоядерным окружением, когда один поток не в состоянии отследить действия параллельных потоков. В итоге может быть обманут буквально любой Windows-антивирус.
Руткит функционирует в том случае, если антивирусное ПО использует таблицу дескрипторов системных служб (System Service Descriptor Table, SSDT) для внесения изменений в участки ядра операционной системы. Поскольку все современные защитные средства оперируют на уровне ядра, атака работает на 100%, причем даже в том случае, если Windows запущена под учётной записью с ограниченными полномочиями.
Все началось с того, что специалисты белорусской антивирусной компании «ВирусБлокада» 9 июля обнаружили интересную вредоносную программу, драйвера которой имели легальную цифровую подпись от Realtek. На этом сюрпризы не закончились, так как эта вредоносная программа использовала ранее неизвестную уязвимость в обработке LNK-файлов (Shell Link) для не санкционированного распространения с различных USB-накопителей. Увидев это информационное сообщение мы тоже обратили внимание на эту угрозу, и заметили у нее достаточно интересный ландшафт распространения (данные получены через нашу систему раннего обнаружения угроз ThreatSense.Net).
United States 57,71%
Iran 30,00%
Russia 4,09%
Indonesia 3,04%
Faore Islands 1,22%
United Kingdom 0,77%
Turkey 0,49%
Spain 0,44%
India 0,29%
Rest of the world 1,73%
По полученным нами статистическим данным видно, что явно лидирующим по числу заражений регионом являются США. Далее почти с двукратным отрывом идет Иран, а за ним Россия.
Единственный выявленный способ распространения этой вредоносной программы – это заражение USB-накопителей. Интересно, что способ запуска вредоносной программы использует ранее неизвестную уязвимость в обработке LNK-файлов содержащихся на USB-накопителе. Выполнение вредоносного кода происходит по причине наличия уязвимости в Windows Shell, связанной с отображением специально подготовленных LNK-файлов.
Видно, что в корневом каталоге находятся два скрытых файла, инсталляция которых осуществляется в процессе заражения системы.
Уязвимыми являются все операционные системы начиная от Windows XP и включая Windows 7. LNK-файлы эксплуатирующие эту уязвимость мы обнаруживаем как LNK/Autostart.
В процессе анализа этой вредоносной программы не было выявлено явных способов кибепреступной монетизации. Зато были найдены возможности сбора информации из SCADA систем, которые, как правило, используются на крупных промышленных предприятиях. А скрытые возможности сетевого взаимодействия, дают все основания полагать о целевой направленности Win32/Stuxnet на промышленный шпионаж.
Недавно словил какого то червя, парализовавшего весь мой комп. Удалось перехитрить его и обмануть, отправив спать. А за это время я нашёл в сети лечение. Но 3 часа было потеряно...
По словам старшего архитектора по безопасности Microsoft Роки Хэкмана (Rocky Heckman), многие, так сказать, хакеры при отладке своего вредоносного кода частенько влетают в стандартное системное сообщение об ошибке и, не особо задумываясь, соглашаются отправить детали ошибки в Microsoft. Так что код некоторых вирусов Microsoft получает сразу от авторов.
Компания Intel объявила о фундаментальной смене подхода к обеспечению безопасности на всех своих платформах, построенных на базе архитектуры x86. Вместо традиционных методов, реализованных в современных антивирусных продуктах для Windows, компания Intel предлагает на аппаратном уровне запретить исполнение любого кода, если этот код не удостоверен подписью от известных и уполномоченных организаций. Пол Отеллини (Paul Otellini), президент компании Intel, назвал это переходом от «заведомо плохой модели» к «заведомо хорошей модели».
Жесть.
Стоит подробнее остановиться на сути и предпосылках нового хода компании Intel. Еще недавно ИТ-сообщество ожесточенно спорило о мотивах, которые привели Intel к приобретению одного из крупнейших производителей антивирусов – компании McAfee. Теперь план Intel вырисовывается более четко. С помощью своей фирменной технологии vPro, которая будет присутствовать во всех новых продуктах с архитектурой x86, Intel планирует предложить производителям и пользователям готовую инфраструктуру наподобие нынешней инфраструктуры для мобильных устройств, взять хотя бы аппараты Apple или Android. В предлагаемой инфраструктуре будет присутствовать магазин приложений и независимый орган сертификации. Таким образом, пользователи устройств на базе компонентов Intel смогут запускать на своих компьютерах (или другой технике) только те приложения, которые официально одобрены производителем устройства или другими уполномоченными сторонами. В роли органа сертификации приложений может как раз и выступать компания McAfee – ее специалисты будут удостоверять безопасность приложений для тех или иных платформ.
Сейчас антивирусные компании заняты тем, что собирают и описывают все виды вредоносных программ и их поведения, чтобы затем блокировать эти программы и последствия их работы. С введением комплекса замкнутых программно-аппаратных экосистем, где потребители смогут загружать только одобренные приложения, необходимость в антивирусных продуктах сторонних производителях может просто исчезнуть. Получается, что с рынка могут уйти практически все компании, которые так долго кормились за счет полной открытости платформы x86 для исполнения любого кода, за исключением, конечно, компании McAfee, которая становится главным претендентом на роль независимого органа сертификации.
Один из наиболее технически совершенных компьютерных вирусов был, вероятно, нацелен на срыв работы важнейших объектов инфраструктуры Ирана, - такое мнение высказали эксперты в интервью Би-би-си.
Некоторые специалисты считают, что сложность вируса Stuxnet указывает на то, что он мог быть написан только по заказу государства.
По имеющимся оценкам, это первый известный вирус, созданный для срыва работы реальных объектов инфраструктуры, таких как электростанции, водоочистные сооружения и промышленные предприятия.
Вирус был обнаружен в июне 2010 года и с тех пор стал объектом интенсивного изучения.
Тот факт, что случаев заражения в Иране значительно больше, чем где бы то ни было в мире, наводит на мысль, что этот вирус нацелен конкретно на Иран, и что в Иране есть что-то, что имеет огромную важность для того, кто этот вирус написал, - заявил в интервью Би-би-си сотрудник компании Symantec Лиам О'Мораху, который занимается этим вирусом с момента его обнаружения.
Некоторые высказывали предположения, что вирус мог быть нацелен на срыв работы Бушерской АЭС или предприятия по обогащению урана в Натанце.
Однако и О'Мораху, и другие - в частности, эксперт по безопасности Брюс Шнейер - считают, что для выводов о том, какова была цель создания вируса и кто может являться его автором, данных пока недостаточно.
По данным Symantec, в Индии и Индонезии этот вирус тоже встречается достаточно часто.
Вирус Stuxnet был впервые идентифицирован фирмой, расположенной в Белоруссии, в июне 2010 года. Но не исключено, что он циркулировал с 2009 года.
В отличие от обычных вирусов, этот червь нацелен на системы, которые, как правило, не подсоединяются к интернету из соображений безопасности.
Вместо этого вирус распространяется по машинам с операционной системой Windows через порты USB - с помощью зараженных флэш-карт и других подобных приспособлений.
Странно, автозапуск надо отрубать сразу и навсегда. Тем более на системах, которые, как правило, не подсоединяются к интернету из соображений безопасности.
Компьютерные хакеры создали первый вирус, способный нанести вред объектам реального мира, остановив работу заводов, электростанций и промышленных предприятий.
Об этом сообщает британский телеканал Скай ньюс со ссылкой на израильского специалиста по кибербезопасности Гади Эврона.
По словам Эврона, вирус, получивший название Стакснет, стал первым из известных вирусов, созданных для уничтожения или затруднения работы заводов, электростанций и других промышленных объектов.
На создание Стакснет, который охотится за специальными компьютерными системами, созданными немецкой фирмой Siemens, потребовалось от шести месяцев до года.
Для создания такого червя требуются ресурсы на уровне государства. Я полагаю, что его создание было наверняка спонсировано некоей правительственной программой, - сказал Эврон в интервью Скай ньюс.
Другой специалист в области компьютерной безопасности Ури Ривнер заявил, что за несколько месяцев во всем мире червем Стакснет были заражены от 30 тысяч до 50 тысяч компьютеров на многих предприятиях и корпорациях. Такое обширное заражение позволило специалистам выявить новый вирус и помогло предпринять меры к его нейтрализации.
Что-то непонятное.
Спец. компьютеры к инету не подключены на нормальных предприятиях.
Как он 50 тысяч компов заразил... Это какая-то дурь.
Буквально позавчера вышла новая версия одного из самых известных бесплатных антивирусов AVG ANTI-VIRUS FREE EDITION 2011 (именно так на сайте, заглавными буквами, и написано).
Вопрос компьютерщикам.
Есть замечательный сайт bg-gallery.ru - Галерея Белый город. Но мой файервол(?) ему не даёт даже загружаться - очень мол опасен. B чём там дело?
Вирусы, Антивирусы и Файерволлы
06 Июнь 2011 11:10 #231
Автор: Joshua Reynolds
Grigoriy написал(а):
Malwqrebytes' Anti-Malware
) Grigoriy, Malwarebytes Anti-Malware это не файерволл, но может быть этот ваш Malwarebytes блокирует определенные сайты, содержимое и т.п. Вот их форум - @forums.malwarebytes.org/ - посмотрите там, - а лучше отключите на время Malwarebytes, и проверьте.)
Я и написал (?). Это новая фича, на триале - active protection. Когда отключаю - загружается, когда включено - не даёт.Кстати, на миф всё время даёт сообщения о блокировке потенциальных опасностей.
Я и написал (?). Это новая фича, на триале - active protection. Когда отключаю - загружается, когда включено - не даёт.Кстати, на миф всё время даёт сообщения о блокировке потенциальных опасностей.
На миффе работают скрипты рекламодателей в выделенных фреймах.
На это можно нарваться на любом сайте инета.
Лучше поставить систему с проактивной защитой, которая блокирует вредные происки, а не сравнивает бяков по базе. Последнее совершенно бесперспективно в перспективе.
Я бы порекомендовал Comodo. - www.comodo.com/
Вирусы, Антивирусы и Файерволлы
06 Июнь 2011 16:49 #234
Автор: Joshua Reynolds
Grigoriy написал(а):
Я и написал (?). Это новая фича, на триале - active protection. Когда отключаю - загружается, когда включено - не даёт.Кстати, на миф всё время даёт сообщения о блокировке потенциальных опасностей.
)
Я понял, что вы написали - ? - это просто я для вас уточнил, что это не совсем файерволл. У вас, я так понимаю, PRO версия, а вы сейчас в триале? Там где-то должны быть в настройках установки для сайтов и тому подобное - и там можно внести изменения - типа разрешить определенные сайты и т.д. Посмотрите там, если разберетесь, то не надо будет и отключать.)
Тут их скриншоты, при нажатии увеличиваются - @malwarebytes.org/products/malwarebytes_pro#screenshots.
Если что, напишите здесь подробнее.)
Вирусы, Антивирусы и Файерволлы
06 Июнь 2011 17:07 #237
Автор: Joshua Reynolds
Vladimirovich написал(а):
Системный, это виндовый? Он не ловит ничего.
)
Ну да, родной; ну почему не ловит? - иногда бывает))), а другие что, все ловят)? Вон у Grigoriyя наловил - а что, спрашивается?)))
Всех не переловишь, xороший скрипт - и прощай защита))). Надо еще