Компания «ВирусБлокАда» сообщает об обнаружении вредоносной программы, использующей новую уязвимость для своего распространения - Общий форум по информационной безопасности - Форумы Anti-Malware.ru Перейти к содержанию
Groft

Компания «ВирусБлокАда» сообщает об обнаружении вредоносной программы, использующей новую уязвимость для своего распространения

Recommended Posts

Groft

Модули данной программы были впервые обнаружены специалистами компании «ВирусБлокАда» ( www.anti-virus.by ) 17 июня 2010 года и добавлены в антивирусные базы как Trojan-Spy.0485 и Malware-Cryptor.Win32.Inject.gen.2. В процессе анализа было обнаружено, что вирус распространяется через USB-накопители. При этом заражение происходит не известным ранее способом через файл autorun.inf, а через уязвимость в обработке lnk-файлов. Таким образом, пользователю достаточно открыть инфицированный накопитель в Microsoft Explorer или в любом другом файловом менеджере, который умеет отображать иконки в lnk-файлах (к примеру, Total Commander), чтобы произошло заражение системы, и вредоносная программа получила управление.

Получив управление, вредоносная программа заражает систему, внедряя в нее два драйвера: mrxnet.sys и mrxcls.sys. Эти файлы были добавлены в антивирусные базы соответственно как Rootkit.TmpHider и SScope.Rookit.TmpHider.2. Особенность данных драйверов состоит в том, что они подписаны цифровой подписью, сертификат на которую выдан известной компании Realtek Semiconductor Corp. ( www.realtek.com ). После установки драйверов происходит загрузка вредоносного кода в системные процессы, а также скрываются следы присутствия инфицированных файлов на USB-накопителе. Поэтому пользователь и не видит “лишние” файлы на флэшке.

Таким образом, данную вредоносную программу можно отнести к категории наиболее опасных, т.к. в ней используются технологии, представляющие риск для заражения многих компьютеров и начала вирусной эпидемии.

После того, как нашими специалистами были добавлены записи в антивирусную базу на описанные выше вредоносные программы, в Технической Поддержке компании было зарегистрировано множество обращений с симптомами, указывающими на заражение Rootkit.TmpHider и SScope.Rookit.TmpHider.2 в нескольких точках мира

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Groft

И как с лечением активного заражения у VBA?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat

интересная находка, теперь бессильны все отключения autorun, так чем же можно спастись? нужен патч от Мс? нас ждет эпидемия пока без патча?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Killer

Ерунда. Флехи открывайте в сендбоксе, но даже если уже заражены - имена драйверов известны, RkU в руки и вперед:)

Да и если у вас HIPS в драконическом режиме - все равно установку дров перехватит, даже от доверенных.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat

по идее надо узнать, кто обрабатывает значки у lnk файлов и поставить ему ограниченные права, альтернатива, запрет чтения lnk. уж на флешке вряд ли кто-то носит много нужных таких файлов, обойдутся как нибудь, запустят ручками exe.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Killer
, кто обрабатывает значки у lnk файлов

системный обработчик, нодо думать. Но это не выход.

уж на флешке вряд ли кто-то носит много нужных таких файлов, обойдутся как нибудь, запустят ручками exe.

А вот это уже ближе к телу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Arakcheev

ФАРом пользуйтесь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen
И как с лечением активного заражения у VBA?

Umnik, вас, как сотрудника ЛК, этот вопрос в контексте данной новости действительно беспокоит больше всего ?

В аттаче дополнительная информация по данному трояну.

new_rootkit.pdf

new_rootkit.pdf

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

sergey ulasen

Я, прежде всего, форумчанин. Меня интересует, может ли VBA бороться с активным заражением этим руткитом исключительно кнопкой "ПЫЩ"? В смысле - скан -> лечить; без выдергивания антируткитов из недр дистрибутива.

Далось вам это "сотрудник"... Да мало кто в компании знает, что я бываю на АМ. Из значимых людей только Гостев, Гудилин, Никишин и Русаков и им это как-то вообще побоку. Так что не опирайтесь на это в следующий раз особо, хорошо?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Гостев, Гудилин, Никишин и Русаков

и им троим

упс

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
(http://www.virustotal.com/ru/analisis/9c891edb5da763398969b6aaa86a5d46971bd28a45

5b20c2067cb512c9f9a0f8+1278584177)иMalware+Cryptor.Win32.Inject.gen.2

(http://www.virustotal.com/ru/analisis/d58c95a68ae3debf9eedb3497b086c9d9289bc5692b

72931f3a12c3041832628+1278584115).Файлы,соответственно,имелиназвания

(http://www.virustotal.com/ru/analisis/0d8c2bcb575378f6a88d17b5f6ce70e794a264cdc855

6c8e812f0b5f9c709198+1278584497)иSScope.Rookit.TmpHider.2

(http://www.virustotal.com/ru/analisis/1635ec04f069ccc8331d01fdf31132a4bc8f6fd3830ac

94739df95ee093c555c+1278661251).

К сожалению, по ним нет смысла проходить :(

Заражению подвержена 7-ка x86, понятно. А другие ОС от MS?

упс

Я не сразу вспомнил фамилию одного из вас. :) В апдейте убрал слово, но ты успел его заметить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DiabloNova

За исключением LNK и цифровой подписи не вижу в этом рутките ничего интересного.

Ссылки на хэши приведены в самом начале статьи, все работает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Ссылки на хэши приведены в самом начале статьи, все работает.

Значит foxit слажал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen
sergey ulasen

хорошо?

Хорошо ;)

Заражению подвержена 7-ка x86, понятно. А другие ОС от MS?

У себя подобный эксперимент на XP мы не ставили. Но от пользователей (у пользователей XP) приходили обращения о проблеме в наш суппорт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
У себя подобный эксперимент на XP мы не ставили.

Странно. Обзор написали, а обязательное не проделали. :unsure: Проверите или такой задачи нет?

И как с лечением все-таки?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen
[Меня интересует, может ли VBA бороться с активным заражением этим руткитом исключительно кнопкой "ПЫЩ"?

Нет, кнопкой "ПЫЩ" не получится. Для этого у нас есть другие продукты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DiabloNova

http://blogs.technet.com/b/mmpc/archive/20...xnet-sting.aspx

Microsoft MMPC has been working with Verisign to revoke this certificate, and did so at 08:05:42 PM UTC with the agreement and support of Realtek.

http://www.microsoft.com/technet/security/...ry/2286198.mspx

http://www.kb.cert.org/vuls/id/940193

Да прибудет патч.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • SQx
      Приветствую,
      Мне попалась интересная тема, в которой пользователь модифицировал %path% переменные, что привело в Bsod 0xc000021a
      https://www.sysnative.com/forums/threads/windows-11-pro-10-0-26200-8457-kb5089549-bsod-0xc000021a-dism-0x800f0915-after-update.46083/

      Хотел уточноть, если возможно для uVS добавить возможность мониторить %path% в WinRE среде и если оно превышает лимит, или содержит вторичный вызов %path% в значение, то показать как предупреждение.
      Получается так, что у пользователя  фактическое значение %PATH% содержало всего 23 333 символа, но из-за того что оно содержало вызов к %path% в значение, я предпологаю это вызвала превышение лимита (32,767 символов). т.е. виртульально содержала 46 667 символов из-за того что дублировался вызов. Поправьте если я не прав.
      https://learn.microsoft.com/en-us/windows/win32/fileio/maximum-file-path-limitation?tabs=registry

      Прикрепил hive реестра пользователя для примера.
        env_hiv.zip
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 19.2.17.
    • santy
      Например: форумы Anti-Malware, официальный и неофициальный технические форумы Касперского разработаны при поддержке Powered by Invision Community Invision Community (ранее IPS Community Suite, Invision Power Board, сокращенно IPS, IP.Suite или IP.Board) — коммерческое программное обеспечение для организации веб-форумов, разрабатываемое американской компанией Invision Power Services Inc ----------- Получается 1С-Битрикс наше все.
    • PR55.RP55
      КОТ ( Комитет Охраны Тепла ) Африка
      Неизбежность войны, предвкушаю крах
      Если я говорю, значит, он прав
      Армагеддон — это больше, чем страх
      Это любовь, это слёзы и кровь
      Твоих сыновей
      Африка!

      [Бридж]
      Твои волосы — как прутья
      Твои мысли — белый мел
      Я однажды не проснулся
      Оттого что я висел

      [Предприпев]
      Африка!
      На твоих руках
      Твоё солнце в моих глазах
      Африка!

      [Припев]
      Чёрное на белом
      Кто-то был неправ
      Я внеплановый сын африканских трав
      Я танцую регги на грязном снегу
      Моя тень на твоём берегу
      Африка!
    • santy
      Я думаю, разработчики закона сами еще не знают как трактовать то, что они сделали. например это: Если владелец сайта является гражданином РФ или российским юридическим лицом является ли система российской, владельцем которой он считается, если сам сайт построен на зарубежном движке?
×