Виталий Я.

Stuxnet скоро стухнет - вышел Outpost 7.0.2

В этой теме 24 сообщений

Антивирусы Outpost обновлены для защиты Windows от эксплойта .LNK

Санкт-Петербург, 23 июля 2010 — Эксперты компании Agnitum, разработчика средств проактивной защиты от вредоносного ПО и сетевых атак, сообщают о выпуске версии Outpost 7.0.2, которая защищает от нового быстро распространяющегося эксплойта .LNK, реализованном в том числе в черве Stuxnet.

С начала этой недели стали распространяться новости о том, что самые безопасные элементы Windows могут содержать потенциальную угрозу. Несколько интернет-ресурсов опубликовало информацию о том, что обнаружен эксплойт «LNK», который распространяется через USB-устройства и использует уязвимость ярлыков (файлов с расширением .lnk) для внедрения в систему. Заражению подвержены все широко распространенные ОС Windows — от XP SP2 до последних версий Windows 7.

Установив, что характер уязвимости предвещает эпидемию, специалисты Agnitum приступили к разработке обновления механизмов проактивной защиты Outpost для превентивной блокировки методики заражения. Результаты трудов уже реализованы в новой версии Outpost 7.0.2, доступной для загрузки на сайте разработчика.

«На наш взгляд, встроенный алгоритм проверки целостности и достоверности файлов .lnk является достаточным для предотвращения заражения, — комментирует руководитель отдела системного программирования Павел Кунышев. — Мы исследовали проблему и вооружили антивирусные решения Outpost механизмом контроля и оповещения, используя порядка 20 новых валидаторов для LNK-файлов. Данный механизм используется для предотвращения заражения угрозами на базе эксплойтов с LNK-уязвимостью, в том числе нашумевшего червя Stuxnet».

Обновленный модуль проактивной защиты проверяет файлы .lnk на наличие угрозы и, в случае ее обнаружения, сообщает пользователю о подозрительной активности. Помимо модуля проактивной защиты, в Outpost 7.0.2 на сигнатуры Stuxnet реагирует эвристический антивирусный модуль, настроенный на выявление нежелательной активности .LNK.

Мы настоятельно рекомендуем для защиты от грядущей эпидемии переходить на версию 7.0.2 Outpost Security Suite Pro и Outpost Antivirus Pro, дистрибутивы которых доступны на сайте Agnitum.

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Было бы замечательно, если бы данный продукт был бы рекомендован Siemens для использования с WinCC SCADA. А так да- шикарно, для тех, кому нечего бояться...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Было бы замечательно, если бы данный продукт был бы рекомендован Siemens для использования с WinCC SCADA. А так да- шикарно, для тех, кому нечего бояться...

Что - никто не боится lnk-уязвимости ???

Я, например, боюсь.

Вчерашний trojan-downloader.winlnk.agent.a - это реальный ад.

trojan-downloader, подчеркиваю

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Что - никто не боится lnk-уязвимости ???

Я, например, боюсь.

Вчерашний trojan-downloader.winlnk.agent.a - это реальный ад.

trojan-downloader, подчеркиваю

:D Я не боюсь.

P.S. Он же: Trojan-Downloader.Win32.Pif.wd ?

Я больше это семейство боюсь: http://www.securelist.com/ru/find?words=Da...amp;searchtype= особенно Trojan.Win32.Danilko.a :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Было бы замечательно, если бы данный продукт был бы рекомендован Siemens для использования с WinCC SCADA. А так да- шикарно, для тех, кому нечего бояться...

Считаете, надо написать Siemens? Или в Eset написать, что Stuxnet у ЛК 1ым февраля датирован?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Считаете, надо написать Siemens?

По поводу чего? Чтобы они рекомендовали Outpost 7.0.2 ? Это ваше дело. А если по поводу Stuxnet, то они как бы уже в курсе...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Оставляю ваши полеты фантазий на все выходные. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пусть кто-нибудь из TrendMicro вам плюсанет в карму :D

Ага. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
P.S. Он же: Trojan-Downloader.Win32.Pif.wd ?

эээ, с хрена ли

Было бы замечательно, если бы данный продукт был бы рекомендован Siemens для использования с WinCC SCADA

Что-то ты херню какую-то несешь, уж прости.

Сименс в этой связи может рекомендовать только корпоративные продукты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Что - никто не боится lnk-уязвимости ???

Я, например, боюсь.

Вчерашний trojan-downloader.winlnk.agent.a - это реальный ад.

Можно чуть подробнее тему ада осветить, плз?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Можно чуть подробнее тему ада осветить, плз?

lnk-файл, открываешь папку с ним эксплорером например (на просмотр) - он тут же скачивает с хардкодед урла файл и запускает.

оп-па.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
lnk-файл, открываешь папку с ним эксплорером например (на просмотр) - он тут же скачивает с хардкодед урла файл и запускает.

оп-па.

Если только не перебить запуск файлов из того каталога, куда он качает этот исполняемый файл. Но сама фишка -- да, занятная.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Что - никто не боится lnk-уязвимости

Да не очень.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
эээ, с хрена ли

Сань, незнаю с хрена ли - но тут так и есть по ссылке: http://www.securelist.com/ru/descriptions/...er.Win32.Pif.wd ;) Хотя может я и чего попутал.

Что-то ты херню какую-то несешь, уж прости.

Сименс в этой связи может рекомендовать только корпоративные продукты.

А зачем ты пол поста вырезал? :) Этот пост был ответом на 2й пост. И он одно целое по смылу. Ясен пень, что корпоративку, причем рекомендуют они продукты из 3ки лидеров. Symantec, Trend Micro and McAfee... Но я не про это..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А кто-нибудь из продвинутых уже протестировал новую особенность продукта? Говорить можно много чего. Так же говорят, что Оутпост имеет функцию блокировки передачи личных данных и отличный антиспам фильтр. Однако эти функции не работают. По крайней мере на Win7 x64. (лицензионная ОС и всё другое ПО с последними обновлениями). Личные данные беспрепятственно уходят в сеть, и так же беспрепятственно в почтовый ящик приходит спам и никак не сортируется.

На наш взгляд, встроенный алгоритм проверки целостности и достоверности файлов .lnk является достаточным для предотвращения заражения

А стоит ли доверять вашему взгляду?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А кто-нибудь из продвинутых уже протестировал новую особенность продукта?
дайте мне этот лнк-файл, попробую протестировать.
Однако эти функции не работают.

в ТП, там разберутся что к чему ;)

личные данные беспрепятственно уходят в сеть

см. тут

беспрепятственно в почтовый ящик приходит спам и никак не сортируется

если в модуле антиспама ошибка, то как он может корректно работать? :huh:

А стоит ли доверять вашему взгляду?

вы вообще кому-нибудь доверяете? :mellow:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
дайте мне этот лнк-файл, попробую протестировать.

Отсутствует :)

в ТП, там разберутся что к чему

Уже. Ждёмс.

если в модуле антиспама ошибка, то как он может корректно работать?

Звучит логично. А вот как разработчики могут выпустить продукт, не заметив столь легко детектируемую ошибку? Или они знают об этих ошибках, не могут их исправить и замалчивают их наличие? Зачем предлагать то, что не работает?

Читая ветку, я уже понял, что проблемы чаще всего возникают именно с 64 разрядными ОС. Разработчики жалуются на несовершенство средств разработки. Но если всё так плохо, если для Win x64 невозможно создать нормально работающий продукт, то могли бы хоть честно предупреждать об этом. В этом случае при скачивании 64-битной версии Оутпоста пусть вставят предупреждение типа этого: "Уважаемые пользователи! Мы не гарантируем нормальную работу нашего продукта на 64-битной ОС! Некоторые или все функции продукта могут оказаться неработоспособными! К сожалению мы не можем осуществить полную поддержку 64-битных ОС из-за недостаточности средств разработки! Спасибо за понимание! Покупайте наш продукт!"

вы вообще кому-нибудь доверяете?

Хотелось бы верить хотя бы в добросовестность разработчиков. Я понимаю, что выпустить хорошую программу очень и очень трудно. Но когда устанавливаешь платную программу на официально поддерживаемую ОС и видишь, что часть функций программы СОВЕРШЕННО не работают - это уже ни в какие ворота. В этом случае ни о какой добросовестности и речи быть не может.

см.

Да, обратил внимание. Из шести наборов личных данных звёздочками прикрыты только два варианта. У меня из пяти наборов тестовых личных данных Оутпост пропустил все пять. Кроме того, я вводил в личные данные и раельный номер банковской карты, что не помешало мне расплатиться через интернет. Сейчас ещё попробую поэкспериментировать ради интереса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ну вот и всё. Вышла заплатка от Майкрософт. Стух стухнет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ну вот и всё. Вышла заплатка от Майкрософт. Стух стухнет.

Не факт. Очень много компьютеров не обновляются. Будут просто более ясны векторы развития зловреда.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Не факт. Очень много компьютеров не обновляются. Будут просто более ясны векторы развития зловреда.

Именно так и будет - многие настолько не в курсе, что такое Windows security updates...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А вот как разработчики могут выпустить продукт, не заметив столь легко детектируемую ошибку? Или они знают об этих ошибках, не могут их исправить и замалчивают их наличие? Зачем предлагать то, что не работает?

Да, обратил внимание. Из шести наборов личных данных звёздочками прикрыты только два варианта. У меня из пяти наборов тестовых личных данных Оутпост пропустил все пять. Кроме того, я вводил в личные данные и раельный номер банковской карты, что не помешало мне расплатиться через интернет. Сейчас ещё попробую поэкспериментировать ради интереса.

Есть предположение, что Вы гоняли данные через https, который мы не расковариваем, да и никто по дефолту не расковыривает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS