Перейти к содержанию
Groft

Компания «ВирусБлокАда» сообщает об обнаружении вредоносной программы, использующей новую уязвимость для своего распространения

Recommended Posts

Groft

Модули данной программы были впервые обнаружены специалистами компании «ВирусБлокАда» ( www.anti-virus.by ) 17 июня 2010 года и добавлены в антивирусные базы как Trojan-Spy.0485 и Malware-Cryptor.Win32.Inject.gen.2. В процессе анализа было обнаружено, что вирус распространяется через USB-накопители. При этом заражение происходит не известным ранее способом через файл autorun.inf, а через уязвимость в обработке lnk-файлов. Таким образом, пользователю достаточно открыть инфицированный накопитель в Microsoft Explorer или в любом другом файловом менеджере, который умеет отображать иконки в lnk-файлах (к примеру, Total Commander), чтобы произошло заражение системы, и вредоносная программа получила управление.

Получив управление, вредоносная программа заражает систему, внедряя в нее два драйвера: mrxnet.sys и mrxcls.sys. Эти файлы были добавлены в антивирусные базы соответственно как Rootkit.TmpHider и SScope.Rookit.TmpHider.2. Особенность данных драйверов состоит в том, что они подписаны цифровой подписью, сертификат на которую выдан известной компании Realtek Semiconductor Corp. ( www.realtek.com ). После установки драйверов происходит загрузка вредоносного кода в системные процессы, а также скрываются следы присутствия инфицированных файлов на USB-накопителе. Поэтому пользователь и не видит “лишние” файлы на флэшке.

Таким образом, данную вредоносную программу можно отнести к категории наиболее опасных, т.к. в ней используются технологии, представляющие риск для заражения многих компьютеров и начала вирусной эпидемии.

После того, как нашими специалистами были добавлены записи в антивирусную базу на описанные выше вредоносные программы, в Технической Поддержке компании было зарегистрировано множество обращений с симптомами, указывающими на заражение Rootkit.TmpHider и SScope.Rookit.TmpHider.2 в нескольких точках мира

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Groft

И как с лечением активного заражения у VBA?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat

интересная находка, теперь бессильны все отключения autorun, так чем же можно спастись? нужен патч от Мс? нас ждет эпидемия пока без патча?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Killer

Ерунда. Флехи открывайте в сендбоксе, но даже если уже заражены - имена драйверов известны, RkU в руки и вперед:)

Да и если у вас HIPS в драконическом режиме - все равно установку дров перехватит, даже от доверенных.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat

по идее надо узнать, кто обрабатывает значки у lnk файлов и поставить ему ограниченные права, альтернатива, запрет чтения lnk. уж на флешке вряд ли кто-то носит много нужных таких файлов, обойдутся как нибудь, запустят ручками exe.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Killer
, кто обрабатывает значки у lnk файлов

системный обработчик, нодо думать. Но это не выход.

уж на флешке вряд ли кто-то носит много нужных таких файлов, обойдутся как нибудь, запустят ручками exe.

А вот это уже ближе к телу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Arakcheev

ФАРом пользуйтесь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen
И как с лечением активного заражения у VBA?

Umnik, вас, как сотрудника ЛК, этот вопрос в контексте данной новости действительно беспокоит больше всего ?

В аттаче дополнительная информация по данному трояну.

new_rootkit.pdf

new_rootkit.pdf

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

sergey ulasen

Я, прежде всего, форумчанин. Меня интересует, может ли VBA бороться с активным заражением этим руткитом исключительно кнопкой "ПЫЩ"? В смысле - скан -> лечить; без выдергивания антируткитов из недр дистрибутива.

Далось вам это "сотрудник"... Да мало кто в компании знает, что я бываю на АМ. Из значимых людей только Гостев, Гудилин, Никишин и Русаков и им это как-то вообще побоку. Так что не опирайтесь на это в следующий раз особо, хорошо?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Гостев, Гудилин, Никишин и Русаков

и им троим

упс

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
(http://www.virustotal.com/ru/analisis/9c891edb5da763398969b6aaa86a5d46971bd28a45

5b20c2067cb512c9f9a0f8+1278584177)иMalware+Cryptor.Win32.Inject.gen.2

(http://www.virustotal.com/ru/analisis/d58c95a68ae3debf9eedb3497b086c9d9289bc5692b

72931f3a12c3041832628+1278584115).Файлы,соответственно,имелиназвания

(http://www.virustotal.com/ru/analisis/0d8c2bcb575378f6a88d17b5f6ce70e794a264cdc855

6c8e812f0b5f9c709198+1278584497)иSScope.Rookit.TmpHider.2

(http://www.virustotal.com/ru/analisis/1635ec04f069ccc8331d01fdf31132a4bc8f6fd3830ac

94739df95ee093c555c+1278661251).

К сожалению, по ним нет смысла проходить :(

Заражению подвержена 7-ка x86, понятно. А другие ОС от MS?

упс

Я не сразу вспомнил фамилию одного из вас. :) В апдейте убрал слово, но ты успел его заметить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DiabloNova

За исключением LNK и цифровой подписи не вижу в этом рутките ничего интересного.

Ссылки на хэши приведены в самом начале статьи, все работает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Ссылки на хэши приведены в самом начале статьи, все работает.

Значит foxit слажал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen
sergey ulasen

хорошо?

Хорошо ;)

Заражению подвержена 7-ка x86, понятно. А другие ОС от MS?

У себя подобный эксперимент на XP мы не ставили. Но от пользователей (у пользователей XP) приходили обращения о проблеме в наш суппорт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
У себя подобный эксперимент на XP мы не ставили.

Странно. Обзор написали, а обязательное не проделали. :unsure: Проверите или такой задачи нет?

И как с лечением все-таки?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen
[Меня интересует, может ли VBA бороться с активным заражением этим руткитом исключительно кнопкой "ПЫЩ"?

Нет, кнопкой "ПЫЩ" не получится. Для этого у нас есть другие продукты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DiabloNova

http://blogs.technet.com/b/mmpc/archive/20...xnet-sting.aspx

Microsoft MMPC has been working with Verisign to revoke this certificate, and did so at 08:05:42 PM UTC with the agreement and support of Realtek.

http://www.microsoft.com/technet/security/...ry/2286198.mspx

http://www.kb.cert.org/vuls/id/940193

Да прибудет патч.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×