Перейти к содержанию
Groft

Компания «ВирусБлокАда» сообщает об обнаружении вредоносной программы, использующей новую уязвимость для своего распространения

Recommended Posts

Groft

Модули данной программы были впервые обнаружены специалистами компании «ВирусБлокАда» ( www.anti-virus.by ) 17 июня 2010 года и добавлены в антивирусные базы как Trojan-Spy.0485 и Malware-Cryptor.Win32.Inject.gen.2. В процессе анализа было обнаружено, что вирус распространяется через USB-накопители. При этом заражение происходит не известным ранее способом через файл autorun.inf, а через уязвимость в обработке lnk-файлов. Таким образом, пользователю достаточно открыть инфицированный накопитель в Microsoft Explorer или в любом другом файловом менеджере, который умеет отображать иконки в lnk-файлах (к примеру, Total Commander), чтобы произошло заражение системы, и вредоносная программа получила управление.

Получив управление, вредоносная программа заражает систему, внедряя в нее два драйвера: mrxnet.sys и mrxcls.sys. Эти файлы были добавлены в антивирусные базы соответственно как Rootkit.TmpHider и SScope.Rookit.TmpHider.2. Особенность данных драйверов состоит в том, что они подписаны цифровой подписью, сертификат на которую выдан известной компании Realtek Semiconductor Corp. ( www.realtek.com ). После установки драйверов происходит загрузка вредоносного кода в системные процессы, а также скрываются следы присутствия инфицированных файлов на USB-накопителе. Поэтому пользователь и не видит “лишние” файлы на флэшке.

Таким образом, данную вредоносную программу можно отнести к категории наиболее опасных, т.к. в ней используются технологии, представляющие риск для заражения многих компьютеров и начала вирусной эпидемии.

После того, как нашими специалистами были добавлены записи в антивирусную базу на описанные выше вредоносные программы, в Технической Поддержке компании было зарегистрировано множество обращений с симптомами, указывающими на заражение Rootkit.TmpHider и SScope.Rookit.TmpHider.2 в нескольких точках мира

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Groft

И как с лечением активного заражения у VBA?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat

интересная находка, теперь бессильны все отключения autorun, так чем же можно спастись? нужен патч от Мс? нас ждет эпидемия пока без патча?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Killer

Ерунда. Флехи открывайте в сендбоксе, но даже если уже заражены - имена драйверов известны, RkU в руки и вперед:)

Да и если у вас HIPS в драконическом режиме - все равно установку дров перехватит, даже от доверенных.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat

по идее надо узнать, кто обрабатывает значки у lnk файлов и поставить ему ограниченные права, альтернатива, запрет чтения lnk. уж на флешке вряд ли кто-то носит много нужных таких файлов, обойдутся как нибудь, запустят ручками exe.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Killer
, кто обрабатывает значки у lnk файлов

системный обработчик, нодо думать. Но это не выход.

уж на флешке вряд ли кто-то носит много нужных таких файлов, обойдутся как нибудь, запустят ручками exe.

А вот это уже ближе к телу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Arakcheev

ФАРом пользуйтесь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen
И как с лечением активного заражения у VBA?

Umnik, вас, как сотрудника ЛК, этот вопрос в контексте данной новости действительно беспокоит больше всего ?

В аттаче дополнительная информация по данному трояну.

new_rootkit.pdf

new_rootkit.pdf

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

sergey ulasen

Я, прежде всего, форумчанин. Меня интересует, может ли VBA бороться с активным заражением этим руткитом исключительно кнопкой "ПЫЩ"? В смысле - скан -> лечить; без выдергивания антируткитов из недр дистрибутива.

Далось вам это "сотрудник"... Да мало кто в компании знает, что я бываю на АМ. Из значимых людей только Гостев, Гудилин, Никишин и Русаков и им это как-то вообще побоку. Так что не опирайтесь на это в следующий раз особо, хорошо?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Гостев, Гудилин, Никишин и Русаков

и им троим

упс

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
(http://www.virustotal.com/ru/analisis/9c891edb5da763398969b6aaa86a5d46971bd28a45

5b20c2067cb512c9f9a0f8+1278584177)иMalware+Cryptor.Win32.Inject.gen.2

(http://www.virustotal.com/ru/analisis/d58c95a68ae3debf9eedb3497b086c9d9289bc5692b

72931f3a12c3041832628+1278584115).Файлы,соответственно,имелиназвания

(http://www.virustotal.com/ru/analisis/0d8c2bcb575378f6a88d17b5f6ce70e794a264cdc855

6c8e812f0b5f9c709198+1278584497)иSScope.Rookit.TmpHider.2

(http://www.virustotal.com/ru/analisis/1635ec04f069ccc8331d01fdf31132a4bc8f6fd3830ac

94739df95ee093c555c+1278661251).

К сожалению, по ним нет смысла проходить :(

Заражению подвержена 7-ка x86, понятно. А другие ОС от MS?

упс

Я не сразу вспомнил фамилию одного из вас. :) В апдейте убрал слово, но ты успел его заметить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DiabloNova

За исключением LNK и цифровой подписи не вижу в этом рутките ничего интересного.

Ссылки на хэши приведены в самом начале статьи, все работает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Ссылки на хэши приведены в самом начале статьи, все работает.

Значит foxit слажал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen
sergey ulasen

хорошо?

Хорошо ;)

Заражению подвержена 7-ка x86, понятно. А другие ОС от MS?

У себя подобный эксперимент на XP мы не ставили. Но от пользователей (у пользователей XP) приходили обращения о проблеме в наш суппорт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
У себя подобный эксперимент на XP мы не ставили.

Странно. Обзор написали, а обязательное не проделали. :unsure: Проверите или такой задачи нет?

И как с лечением все-таки?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen
[Меня интересует, может ли VBA бороться с активным заражением этим руткитом исключительно кнопкой "ПЫЩ"?

Нет, кнопкой "ПЫЩ" не получится. Для этого у нас есть другие продукты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DiabloNova

http://blogs.technet.com/b/mmpc/archive/20...xnet-sting.aspx

Microsoft MMPC has been working with Verisign to revoke this certificate, and did so at 08:05:42 PM UTC with the agreement and support of Realtek.

http://www.microsoft.com/technet/security/...ry/2286198.mspx

http://www.kb.cert.org/vuls/id/940193

Да прибудет патч.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Joshua3233Chids
      This is my first time come here
      https://gto5767.com/home.php?mod=space&uid=1902793
      http://www.atlasroleplay.com/forum/profile/koreanneck14
      https://spinalhub.win/wiki/H124pc_Wholesale_Clear_Acrylic_Crystal_Stud_Earring_Field_Show_Jewelry_Reward_Binsh1
      http://quanboo.com/home.php?mod=space&uid=53013
      http://idea.informer.com/users/cobwebplier5/?what=personal

      I am very happy to cme here I am very happy to cme here I am very happy to cme here I am very happy to cme here I am very happy to cme here 8287d12
    • Ego Dekker
      Домашние антивирусы ESET были обновлены до версии 15.0.23.
    • Thomaspaymn
      Hello there, I'm completely new here, I am not sure in the event this section is a right place to create this and also sorry with this, but I was hoping a person here on anti-malware.ru would be able to assist me.
      I am just wondering anybody knows just about any trusted company for signals for crypto. Is this website good and anyone worked with them ?
      binance futures signals
      Also please introduce any good and comprehensive blog for more inormation about this kind of services. We appreciate it.
    • Gabrielmop
      Какое абстрактное мышление
      filmkont.online
    • Richardcrere
      Реально, https://intervision.ua/videonablyudenie - видеонаблюдение поможет в данной ситуации!
      Цифровые камеры передают четкую детализированную картинку. Чем выше качество изображения, тем «тяжелее» потоковое видео. В этом случае поможет видеорегистратор с емким жестким диском. Для удаленного контроля лучше использовать цифровые IP-видеокамеры, которые шифруют и сжимают сигнал. К тому же, многие IP-модели запитываются по витой паре или оптоволокну посредством технологии PoE. Благодаря этому системами IP-видеонаблюдения оснащают строящиеся объекты.
      https://intervision.ua/videonabludenie/lte-camera - 4g видеокамера
      Как установить видеонаблюдение для дома
      Установка и настройка аппаратуры происходит в несколько этапов. Сначала нужно подобрать и установить видеокамеры, записывающее устройство, а также обеспечить передачу сигнала и постоянное питание. Обратите внимание: проводное подключение требует прокладки кабелей для соединения компонентов. Для этого стоит вызвать мастера.
×