Перейти к содержанию
Виталий Я.

Stuxnet скоро стухнет - вышел Outpost 7.0.2

Recommended Posts

Виталий Я.

Антивирусы Outpost обновлены для защиты Windows от эксплойта .LNK

Санкт-Петербург, 23 июля 2010 — Эксперты компании Agnitum, разработчика средств проактивной защиты от вредоносного ПО и сетевых атак, сообщают о выпуске версии Outpost 7.0.2, которая защищает от нового быстро распространяющегося эксплойта .LNK, реализованном в том числе в черве Stuxnet.

С начала этой недели стали распространяться новости о том, что самые безопасные элементы Windows могут содержать потенциальную угрозу. Несколько интернет-ресурсов опубликовало информацию о том, что обнаружен эксплойт «LNK», который распространяется через USB-устройства и использует уязвимость ярлыков (файлов с расширением .lnk) для внедрения в систему. Заражению подвержены все широко распространенные ОС Windows — от XP SP2 до последних версий Windows 7.

Установив, что характер уязвимости предвещает эпидемию, специалисты Agnitum приступили к разработке обновления механизмов проактивной защиты Outpost для превентивной блокировки методики заражения. Результаты трудов уже реализованы в новой версии Outpost 7.0.2, доступной для загрузки на сайте разработчика.

«На наш взгляд, встроенный алгоритм проверки целостности и достоверности файлов .lnk является достаточным для предотвращения заражения, — комментирует руководитель отдела системного программирования Павел Кунышев. — Мы исследовали проблему и вооружили антивирусные решения Outpost механизмом контроля и оповещения, используя порядка 20 новых валидаторов для LNK-файлов. Данный механизм используется для предотвращения заражения угрозами на базе эксплойтов с LNK-уязвимостью, в том числе нашумевшего червя Stuxnet».

Обновленный модуль проактивной защиты проверяет файлы .lnk на наличие угрозы и, в случае ее обнаружения, сообщает пользователю о подозрительной активности. Помимо модуля проактивной защиты, в Outpost 7.0.2 на сигнатуры Stuxnet реагирует эвристический антивирусный модуль, настроенный на выявление нежелательной активности .LNK.

Мы настоятельно рекомендуем для защиты от грядущей эпидемии переходить на версию 7.0.2 Outpost Security Suite Pro и Outpost Antivirus Pro, дистрибутивы которых доступны на сайте Agnitum.

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K

Шикааарно :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Было бы замечательно, если бы данный продукт был бы рекомендован Siemens для использования с WinCC SCADA. А так да- шикарно, для тех, кому нечего бояться...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Было бы замечательно, если бы данный продукт был бы рекомендован Siemens для использования с WinCC SCADA. А так да- шикарно, для тех, кому нечего бояться...

Что - никто не боится lnk-уязвимости ???

Я, например, боюсь.

Вчерашний trojan-downloader.winlnk.agent.a - это реальный ад.

trojan-downloader, подчеркиваю

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Что - никто не боится lnk-уязвимости ???

Я, например, боюсь.

Вчерашний trojan-downloader.winlnk.agent.a - это реальный ад.

trojan-downloader, подчеркиваю

:D Я не боюсь.

P.S. Он же: Trojan-Downloader.Win32.Pif.wd ?

Я больше это семейство боюсь: http://www.securelist.com/ru/find?words=Da...amp;searchtype= особенно Trojan.Win32.Danilko.a :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
Было бы замечательно, если бы данный продукт был бы рекомендован Siemens для использования с WinCC SCADA. А так да- шикарно, для тех, кому нечего бояться...

Считаете, надо написать Siemens? Или в Eset написать, что Stuxnet у ЛК 1ым февраля датирован?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Считаете, надо написать Siemens?

По поводу чего? Чтобы они рекомендовали Outpost 7.0.2 ? Это ваше дело. А если по поводу Stuxnet, то они как бы уже в курсе...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.

Оставляю ваши полеты фантазий на все выходные. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
А я оставляю это здесь:

http://support.automation.siemens.com/WW/l...amp;caller=view

:D

Пусть кто-нибудь из TrendMicro вам плюсанет в карму :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Пусть кто-нибудь из TrendMicro вам плюсанет в карму :D

Ага. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
P.S. Он же: Trojan-Downloader.Win32.Pif.wd ?

эээ, с хрена ли

Было бы замечательно, если бы данный продукт был бы рекомендован Siemens для использования с WinCC SCADA

Что-то ты херню какую-то несешь, уж прости.

Сименс в этой связи может рекомендовать только корпоративные продукты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Что - никто не боится lnk-уязвимости ???

Я, например, боюсь.

Вчерашний trojan-downloader.winlnk.agent.a - это реальный ад.

Можно чуть подробнее тему ада осветить, плз?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Можно чуть подробнее тему ада осветить, плз?

lnk-файл, открываешь папку с ним эксплорером например (на просмотр) - он тут же скачивает с хардкодед урла файл и запускает.

оп-па.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
lnk-файл, открываешь папку с ним эксплорером например (на просмотр) - он тут же скачивает с хардкодед урла файл и запускает.

оп-па.

Если только не перебить запуск файлов из того каталога, куда он качает этот исполняемый файл. Но сама фишка -- да, занятная.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Что - никто не боится lnk-уязвимости

Да не очень.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
эээ, с хрена ли

Сань, незнаю с хрена ли - но тут так и есть по ссылке: http://www.securelist.com/ru/descriptions/...er.Win32.Pif.wd ;) Хотя может я и чего попутал.

Что-то ты херню какую-то несешь, уж прости.

Сименс в этой связи может рекомендовать только корпоративные продукты.

А зачем ты пол поста вырезал? :) Этот пост был ответом на 2й пост. И он одно целое по смылу. Ясен пень, что корпоративку, причем рекомендуют они продукты из 3ки лидеров. Symantec, Trend Micro and McAfee... Но я не про это..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitrig

А кто-нибудь из продвинутых уже протестировал новую особенность продукта? Говорить можно много чего. Так же говорят, что Оутпост имеет функцию блокировки передачи личных данных и отличный антиспам фильтр. Однако эти функции не работают. По крайней мере на Win7 x64. (лицензионная ОС и всё другое ПО с последними обновлениями). Личные данные беспрепятственно уходят в сеть, и так же беспрепятственно в почтовый ящик приходит спам и никак не сортируется.

На наш взгляд, встроенный алгоритм проверки целостности и достоверности файлов .lnk является достаточным для предотвращения заражения

А стоит ли доверять вашему взгляду?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
А кто-нибудь из продвинутых уже протестировал новую особенность продукта?
дайте мне этот лнк-файл, попробую протестировать.
Однако эти функции не работают.

в ТП, там разберутся что к чему ;)

личные данные беспрепятственно уходят в сеть

см. тут

беспрепятственно в почтовый ящик приходит спам и никак не сортируется

если в модуле антиспама ошибка, то как он может корректно работать? :huh:

А стоит ли доверять вашему взгляду?

вы вообще кому-нибудь доверяете? :mellow:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitrig
дайте мне этот лнк-файл, попробую протестировать.

Отсутствует :)

в ТП, там разберутся что к чему

Уже. Ждёмс.

если в модуле антиспама ошибка, то как он может корректно работать?

Звучит логично. А вот как разработчики могут выпустить продукт, не заметив столь легко детектируемую ошибку? Или они знают об этих ошибках, не могут их исправить и замалчивают их наличие? Зачем предлагать то, что не работает?

Читая ветку, я уже понял, что проблемы чаще всего возникают именно с 64 разрядными ОС. Разработчики жалуются на несовершенство средств разработки. Но если всё так плохо, если для Win x64 невозможно создать нормально работающий продукт, то могли бы хоть честно предупреждать об этом. В этом случае при скачивании 64-битной версии Оутпоста пусть вставят предупреждение типа этого: "Уважаемые пользователи! Мы не гарантируем нормальную работу нашего продукта на 64-битной ОС! Некоторые или все функции продукта могут оказаться неработоспособными! К сожалению мы не можем осуществить полную поддержку 64-битных ОС из-за недостаточности средств разработки! Спасибо за понимание! Покупайте наш продукт!"

вы вообще кому-нибудь доверяете?

Хотелось бы верить хотя бы в добросовестность разработчиков. Я понимаю, что выпустить хорошую программу очень и очень трудно. Но когда устанавливаешь платную программу на официально поддерживаемую ОС и видишь, что часть функций программы СОВЕРШЕННО не работают - это уже ни в какие ворота. В этом случае ни о какой добросовестности и речи быть не может.

см.

Да, обратил внимание. Из шести наборов личных данных звёздочками прикрыты только два варианта. У меня из пяти наборов тестовых личных данных Оутпост пропустил все пять. Кроме того, я вводил в личные данные и раельный номер банковской карты, что не помешало мне расплатиться через интернет. Сейчас ещё попробую поэкспериментировать ради интереса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitrig

Ну вот и всё. Вышла заплатка от Майкрософт. Стух стухнет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK
Ну вот и всё. Вышла заплатка от Майкрософт. Стух стухнет.

Не факт. Очень много компьютеров не обновляются. Будут просто более ясны векторы развития зловреда.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
Не факт. Очень много компьютеров не обновляются. Будут просто более ясны векторы развития зловреда.

Именно так и будет - многие настолько не в курсе, что такое Windows security updates...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
А вот как разработчики могут выпустить продукт, не заметив столь легко детектируемую ошибку? Или они знают об этих ошибках, не могут их исправить и замалчивают их наличие? Зачем предлагать то, что не работает?

Да, обратил внимание. Из шести наборов личных данных звёздочками прикрыты только два варианта. У меня из пяти наборов тестовых личных данных Оутпост пропустил все пять. Кроме того, я вводил в личные данные и раельный номер банковской карты, что не помешало мне расплатиться через интернет. Сейчас ещё попробую поэкспериментировать ради интереса.

Есть предположение, что Вы гоняли данные через https, который мы не расковариваем, да и никто по дефолту не расковыривает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×