Перейти к содержанию
AM_Bot

Через zero-day уязвимость Firefoх распространяется новый троян

Recommended Posts

AM_Bot

Исследователи в области безопасности компании Norman обнаружили ранее неизвестную угрозу, которая эксплуатирует незакрытую zero-day уязвимость браузера Mizilla Firefoх 3.5 и 3.6 версий.

Читать далее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Далее троян пытается установить соединение с nobel.usagov.mooo.com и update.microsoft.com через протокол TCP используя порты 443 и 80, соответственно.

update.microsoft.com - а это зачем? :huh:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
update.microsoft.com - а это зачем?

А в случае успешного подключения к update.microsoft.com порты 80 и 443 будут доступными для других - тёмных - дел.

Вводим в адресную строку https://www.microsoft.com:80 и https://www.microsoft.com:443 переходим по ссылкам и смотрим далее.

Страничка открылась - порт открыт, не открылась - порт закрыт.

Проверка состоялась. Далее - по заготовленному сценарию.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
NEX

Да, да...там же говорится, что после того, как троян "прощупал" порты, он подключается уже к "нужным" адресам

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Замечательно как.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Если я не ошибаюсь, то уже закрыта в последней версии FF. На исправление ушло 2 дня. :) Не в угоду MS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Если я не ошибаюсь, то уже закрыта в последней версии FF. На исправление ушло 2 дня. smile.gif Не в угоду MS.

Да, версия 3.6.12 закрывает эту уязвимость, оперативно сработали

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa

Позавчера (26.10.2010), как сообщают представители MMPC(Microsoft Malware Protection Center), сайт Нобелевской Премии "nobelprize.org" был хакнут неизвесными хакерами и распостранял вредоносное програмное обеспечение. Пользователи браузеров Mozilla FireFox 3.5 и Mozilla FireFox 3.6 возможно получили вредоносное ПО. Само ПО распостранялось через вредоносный JavaScript который експлуатировал уязвимость браузера FireFox.

Как сообщают представители MMPC: команда разработчиков FireFox уже уведомлена о даной уязвимости по которой в ближайшее время будет выпущенное обновление.

Защитные продукты Microsoft, такие как Microsoft Security Essentials, семейство Microsoft ForeFont уже защищают пользователей от вредоносного JavaScript'а - сигнатура Exploit:JS/Belmoo, так же и от бэкдора - сигнатура Backdoor:Win32/Belmoo.A с версии антивредоносных сигнатур 1.93.562.0 и выше.

Источники:

http://www.microsoft.com/security/portal/default.aspx

http://blogs.technet.com/b/mmpc/archive/20...er-malware.aspx

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Оно (исправление) еще вчера было выпущено. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
    • PR55.RP55
      Предлагаю автоматически ( при формировании скрипта  ) удалять  идентичные расширения браузеров по ID т.е. удаляем расширение из одного браузера = автоматически  удаляем это расширение из всех браузеров. https://www.comss.ru/page.php?id=12970 --------------- Возможно в Категориях по браузерам стоит собирать\ консолидировать все доступные данные по этому браузеру. т.е. не только данные о расширениях, но и назначенные задания; все подписанные или не подписанные файлы; Все файлы _которые есть в каталогах браузеров_; скрипты; ярлыки; групповые политики; сетевая активность и т.д.    
×