Перейти к содержанию
Hauten

Bloodhound.Exploit.324 - что за вирус такой?

Recommended Posts

Hauten

В общем, только что антивирус Симантек нашел вирус в... видеофайле (расширение avi и был на винчестере многие годы)!

Bloodhound.Exploit.324

Линк из самого антивируса ведет на страничку с описанием вируса: http://securityresponse.symantec.com/secur...-051110-0744-99

Но я плохо знаю английский, да и про сам вирус там вроде ничего не сказано.

Мне интересно как вообще может быть вирус в видеофайле? Я такое первый раз вижу и слышу.

Буду признателен за любую информацию об этом вирусе: чем он опасен, как действует и насколько вероятно что это действительно вирус (эвристический метод вроде иногда делает ошибочный вывод)?

P.s. Что странно: я зашел в папку, выделил группу файлов, среди которых этот самый видеофайл, тыкнул "проверить на вирусы" и симантек ничего не нашел. Спустя примерно одну минуту Симантек спохватывается и говорит, что при автоматическом поиске все-таки нашел его.

Скриншот:

http://s006.radikal.ru/i213/1006/ae/2946fb7459c5.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa

Я сам не очень знаком с форматом .avi но вирлаб Симантека утверждает что Bloodhound.Exploit.324 - это эвристический детект файлов или скриптов которые пробуют использовать уязвимость №39303(Переполнение буфера в кодеке MS MPEG Layer-3 Audio Decoder ). Скорее всего что при компиляции файлов даного формата есть возможность вмонтировать вредоносный скрипт либо какая то другая причина приводит к переполнению буфера при проигрывании даного файла. Для начала я бы посоветовал поставить последние апдейты к даному кодеку(должны быть доступны на сайте Microsoft), если проблема не будет исправлена то тогда советую обратится непосредственно в вирлаб Симантека по поводу FP(скорее всего).

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Hauten
Я сам не очень знаком с форматом .avi но вирлаб Симантека утверждает что Bloodhound.Exploit.324 - это эвристический детект файлов или скриптов которые пробуют использовать уязвимость №39303(Переполнение буфера в кодеке MS MPEG Layer-3 Audio Decoder ). Скорее всего что при компиляции файлов даного формата есть возможность вмонтировать вредоносный скрипт либо какая то другая причина приводит к переполнению буфера при проигрывании даного файла. Для начала я бы посоветовал поставить последние апдейты к даному кодеку(должны быть доступны на сайте Microsoft), если проблема не будет исправлена то тогда советую обратится непосредственно в вирлаб Симантека по поводу FP(скорее всего).

Т.е. максимально возможный ущерб от этого вируса - переполнение буфера обмена? Какие могут быть последствия: зависание системы или что-то более серьезное? Может ли скрипт с помощью этой уязвимости стащить пароли и т.п.?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa
Т.е. максимально возможный ущерб от этого вируса - переполнение буфера обмена? Какие могут быть последствия: зависание системы или что-то более серьезное? Может ли скрипт с помощью этой уязвимости стащить пароли и т.п.?

В зависимости от типа и версии вашей ОС скачайте соотв. обновление перейдя на следующую страницу: http://www.securityfocus.com/bid/39303/solution

По поводу даной уязвимости: скорее нет чем да. Само по себе переплнение буфера, в чистом виде, в любой программе ведет непосредственно к нестабильной работе и в конечном итоге заканчивается критическим завершением(e.g exception). Если программа оперирует с какими то даными то скорее всего они(или их изменения) будут безвозвратно утеряны.

Хотя на сайте Майкрософта пишут что через эту уязвимость злоумышленик может получить полный контроль над системой. Все таки я бы посоветовал установить даный патч от ,Ммайкрософт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Hauten
В зависимости от типа и версии вашей ОС скачайте соотв. обновление перейдя на следующую страницу: http://www.securityfocus.com/bid/39303/solution

По поводу даной уязвимости: скорее нет чем да. Само по себе переплнение буфера, в чистом виде, в любой программе ведет непосредственно к нестабильной работе и в конечном итоге заканчивается критическим завершением(e.g exception). Если программа оперирует с какими то даными то скорее всего они(или их изменения) будут безвозвратно утеряны.

Хотя на сайте Майкрософта пишут что через эту уязвимость злоумышленик может получить полный контроль над системой. Все таки я бы посоветовал установить даный патч от ,Ммайкрософт.

Спасибо большое за помощь!

Уже скачал обновление, буду ставить. )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Мне интересно как вообще может быть вирус в видеофайле? Я такое первый раз вижу и слышу.

Проще говоря, эта проблема связана с подвисанием компьютера, даже на самой современной системе, когда ты открываешь папку с видеофайлами, при включенном отображении её содержимого как "Эскизы страниц". Может быть не только подвисание, но и вывод извещения типа "память не может быть прочитана". Раньше просто приходилось или устанавливать кодеки начисто или методом тыка находить сбойный фильм и удалять его.

Но файл, если он очень нужен, ещё можно вернуть. В главном окне программы кликните на "Карантин", в списке обнаруженного найдите свой файл и в правой части окна кликните на "Параметры". Дальнейшие действия должны быть понятны. Скриншот прилагаю.

b5d1e82ca27ft.jpg

Потом остаётся только добавить этот файл в "Исключения": Главное окно - Параметры - Исключения/Исключения из сканирования - Настроить - выбрать нужный файл. По окончании - обязательно "Применить" и ОК.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      1) Тема с WMI http://www.tehnari.ru/f35/t261417/ здесь для ряда объектов: Полное имя                  A3D.DLL
      Имя файла                   A3D.DLL
      Тек. статус                 в автозапуске
                                  
      Сохраненная информация      на момент создания образа
      Статус                      в автозапуске
                                  
      Ссылки на объект            
      Ссылка                      HKLM\Software\Classes\Wow6432Node\CLSID\{442D12A1-2641-11d2-90FB-006008A1F441}\InprocServer32\
                                  
      Ссылка                      HKLM\Software\Classes\Wow6432Node\CLSID\{d8f1eee0-f634-11cf-8700-00a0245d918b}\InprocServer32\
      ------------------------------------ Полное имя                  A3DAPI.DLL
      Имя файла                   A3DAPI.DLL
      Тек. статус                 в автозапуске
                                  
      Сохраненная информация      на момент создания образа
      Статус                      в автозапуске
                                  
      Ссылки на объект            
      Ссылка                      HKLM\Software\Classes\Wow6432Node\CLSID\{92FA2C24-253C-11d2-90FB-006008A1F441}\InprocServer32\
      -------------------------------- Как-то маловато информации Или нет ? 2) Хотелось бы, чтобы в новых версиях uVS присутствовали данные по: alt+d Чтобы не было такого: http://forum.esetnod32.ru/messages/forum6/topic15013/message104717/#message104717  
    • Dpensermeda
      ceap viagra
      viagra for men for sale
      viagra online usa report
      viagra for sale for men
      - cialis half life
      cialis pills side effects positive 1
    • Bladery
      я иногда делаю на заказ ремонт техники, так как я разбираюсь в этом. а вот ваши советы на счет клубов, типа эльдорадо на деньги https://casinout.net/eldorado-na-dengy , это полная ерунда. Нужно думать о реальных возможностях, а не воздушных замках. Поймите же это.
    • Bladery
      я чаще всего использую гугл хром. в нем у меня нормально работают все мои любимые ресурсы. я часто использую брокерские платформы и мне приходится работать с десятками онлайн графиков. Вот с хромом проблем совсем не было, а другие браузеры иногда не отображают те графики, что работают у меня в хром. 
    • xxxzionxxx
      Качественные автомобильные чехлы из экокожи. Заводские лекала. Респектабельный внешний вид. http://autopelt.ru/ 
      Также вступайте в нашу группу где наш менеджер ответит на все интересующие Вас вопросы. https://vk.com/autopelt 
×