Hauten

Bloodhound.Exploit.324 - что за вирус такой?

В этой теме 6 сообщений

В общем, только что антивирус Симантек нашел вирус в... видеофайле (расширение avi и был на винчестере многие годы)!

Bloodhound.Exploit.324

Линк из самого антивируса ведет на страничку с описанием вируса: http://securityresponse.symantec.com/secur...-051110-0744-99

Но я плохо знаю английский, да и про сам вирус там вроде ничего не сказано.

Мне интересно как вообще может быть вирус в видеофайле? Я такое первый раз вижу и слышу.

Буду признателен за любую информацию об этом вирусе: чем он опасен, как действует и насколько вероятно что это действительно вирус (эвристический метод вроде иногда делает ошибочный вывод)?

P.s. Что странно: я зашел в папку, выделил группу файлов, среди которых этот самый видеофайл, тыкнул "проверить на вирусы" и симантек ничего не нашел. Спустя примерно одну минуту Симантек спохватывается и говорит, что при автоматическом поиске все-таки нашел его.

Скриншот:

http://s006.radikal.ru/i213/1006/ae/2946fb7459c5.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я сам не очень знаком с форматом .avi но вирлаб Симантека утверждает что Bloodhound.Exploit.324 - это эвристический детект файлов или скриптов которые пробуют использовать уязвимость №39303(Переполнение буфера в кодеке MS MPEG Layer-3 Audio Decoder ). Скорее всего что при компиляции файлов даного формата есть возможность вмонтировать вредоносный скрипт либо какая то другая причина приводит к переполнению буфера при проигрывании даного файла. Для начала я бы посоветовал поставить последние апдейты к даному кодеку(должны быть доступны на сайте Microsoft), если проблема не будет исправлена то тогда советую обратится непосредственно в вирлаб Симантека по поводу FP(скорее всего).

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Я сам не очень знаком с форматом .avi но вирлаб Симантека утверждает что Bloodhound.Exploit.324 - это эвристический детект файлов или скриптов которые пробуют использовать уязвимость №39303(Переполнение буфера в кодеке MS MPEG Layer-3 Audio Decoder ). Скорее всего что при компиляции файлов даного формата есть возможность вмонтировать вредоносный скрипт либо какая то другая причина приводит к переполнению буфера при проигрывании даного файла. Для начала я бы посоветовал поставить последние апдейты к даному кодеку(должны быть доступны на сайте Microsoft), если проблема не будет исправлена то тогда советую обратится непосредственно в вирлаб Симантека по поводу FP(скорее всего).

Т.е. максимально возможный ущерб от этого вируса - переполнение буфера обмена? Какие могут быть последствия: зависание системы или что-то более серьезное? Может ли скрипт с помощью этой уязвимости стащить пароли и т.п.?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Т.е. максимально возможный ущерб от этого вируса - переполнение буфера обмена? Какие могут быть последствия: зависание системы или что-то более серьезное? Может ли скрипт с помощью этой уязвимости стащить пароли и т.п.?

В зависимости от типа и версии вашей ОС скачайте соотв. обновление перейдя на следующую страницу: http://www.securityfocus.com/bid/39303/solution

По поводу даной уязвимости: скорее нет чем да. Само по себе переплнение буфера, в чистом виде, в любой программе ведет непосредственно к нестабильной работе и в конечном итоге заканчивается критическим завершением(e.g exception). Если программа оперирует с какими то даными то скорее всего они(или их изменения) будут безвозвратно утеряны.

Хотя на сайте Майкрософта пишут что через эту уязвимость злоумышленик может получить полный контроль над системой. Все таки я бы посоветовал установить даный патч от ,Ммайкрософт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В зависимости от типа и версии вашей ОС скачайте соотв. обновление перейдя на следующую страницу: http://www.securityfocus.com/bid/39303/solution

По поводу даной уязвимости: скорее нет чем да. Само по себе переплнение буфера, в чистом виде, в любой программе ведет непосредственно к нестабильной работе и в конечном итоге заканчивается критическим завершением(e.g exception). Если программа оперирует с какими то даными то скорее всего они(или их изменения) будут безвозвратно утеряны.

Хотя на сайте Майкрософта пишут что через эту уязвимость злоумышленик может получить полный контроль над системой. Все таки я бы посоветовал установить даный патч от ,Ммайкрософт.

Спасибо большое за помощь!

Уже скачал обновление, буду ставить. )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мне интересно как вообще может быть вирус в видеофайле? Я такое первый раз вижу и слышу.

Проще говоря, эта проблема связана с подвисанием компьютера, даже на самой современной системе, когда ты открываешь папку с видеофайлами, при включенном отображении её содержимого как "Эскизы страниц". Может быть не только подвисание, но и вывод извещения типа "память не может быть прочитана". Раньше просто приходилось или устанавливать кодеки начисто или методом тыка находить сбойный фильм и удалять его.

Но файл, если он очень нужен, ещё можно вернуть. В главном окне программы кликните на "Карантин", в списке обнаруженного найдите свой файл и в правой части окна кликните на "Параметры". Дальнейшие действия должны быть понятны. Скриншот прилагаю.

b5d1e82ca27ft.jpg

Потом остаётся только добавить этот файл в "Исключения": Главное окно - Параметры - Исключения/Исключения из сканирования - Настроить - выбрать нужный файл. По окончании - обязательно "Применить" и ОК.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Lexluthor87
       Из своего личного опыта  могу поделиться следующей информацией. Кто-нибудь знаком с порядком получения микрокредитов в интернете? Я сам множество раз встречал в сети рекламу, типа, мгновенно любую сумму на ваш счет, без поручителей и залога, нужен только паспорт и ИНН...На днях срочно понадобились 3300 дол США  на 5-6 дней, и я начал искать варианты, типа быстроденьги и т.д. Я долго искал именно такой вариант, чтобы минимально переплачивать на процентах. Как я понял, в среднем процентные ставки микрокредитов в 2018 году составляют около 1-3% в день, это в основном зависит от суммы кредита. Но есть и варианты кредитов со ставкой менее 1%!!! Ставки 0,5-0,17% в день!!! Я нашел сам когда залез на https://fin32.com/ua , там куча предложений, пришлось перечитать массу вариантов, но оно того стоило. кому надо - пробуйте)
    • seomasterpro
      Если Ваш сайт работает на WordPress, то рекомендую установить плагин "Anti-Malware Security and Brute-Force Firewall".  Данный плагин является одним из немногих, что способны не только обнаруживать вредоносный код, но и умеют  удалять его. Функции и возможности. Автоматическое устранение известных угроз. Возможность загрузки определений новых угроз по мере их обнаружения. Автоматическое обновление версий TimThumb для устранения уязвимостей. Автоматическая установка обновления WP-login.php, чтобы блокировать атаку brute force. Возможность настроек сканирования. Запуск быстрого сканирования из админ. панели или полное сканирование из настроек плагина. Если Вам нужны рекомендации как пользоваться данным плагином для выявления вредоносных кодов на Вашем сайте, то можете обратиться к спецам от веб-студии на https://seo-master.pro Без регистрации плагин работает только в режиме сканирования. Регистрация плагина позволяет получить доступ к новым определениям «известных угроз» и другим функциям таким, как автоматическое удаление, а также патчи для конкретных уязвимостей , таких как старые версии TimThumb. Обновленные файлы определения могут быть загружены автоматически после того, как только Ваш ключ зарегистрирован. В противном случае, этот плагин просто сканирует на наличие потенциальных угроз и предоставляет Вам самостоятельно определять и удалять вредоносный код.
    • PR55.RP55
      Я с какой целью вам дал ссылку ? Откройте. И, если уж пишите про PC то стоит привести его характеристики. Asus k50c 2008 год; Windows 7; Одноядерный - Celeron 220 с тактовой частотой 1200 МГц; Память: DDR2 - 2ГБ. встроенная видеокарта: SiS Mirage 3+; HDD на 250 ГБ  
    • kostepanych
      А комодо без проблем работает без инета? Можно ли обновлять базы без инета, скачав обновления с официального сайта на другом компе?
      И не будет ли он сильно грузить старый ноут Asus k50c?
    • PR55.RP55
      + Info Software
      Media Lid
      Megabit
      Megabit, OOO
      'LLC' Dort
      "LLC" Dort