Перейти к содержанию
AM_Bot

Обнаружен троян-разведчик для промышленных систем

Recommended Posts

rkhunter
Новых драйверов вообще-то - как собак нерезанных. Нам например два десятка известно. И не только драйверы - дрова сами по себе фигня, ничего такого. Есть более интересное, говорю же :)

Зачем им столько драйверов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Зачем им столько драйверов?

Я ж писал - под каждого "клиента" уникальный набор - разные имена, разные размеры, иногда разная крипта.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Русская версия

http://www.securelist.com/ru/blog/20776692...qu_chast_tretya

Но там пока ничего конкретного. Все еще не могу написать всё

Ждем. Мне, лично, не к спеху, но интересно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

Т. е. дроппер пока есть только у Symantec и только у MS и те не собираются им делится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Celsus

Здесь написано про Duku http://www.securitylab.ru/vulnerability/409631.php

и здесь: http://www.securitylab.ru/news/409632.php

Скажите, пожалуйста, Duku может быть причиной проблемы со шрифтом в Google Chrome?

http://linkme.ufanet.ru/images/27149d104fb...ada7f6c1899.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

Там в примечании указано, что в случае использования временного решения по устранению уязвимости в системе могут быть проблемы с приложениями, которые используют эти шрифты.

Внимание: приложения, которое полагаются на работу встроенных шрифтов, могут перестать работать или будут некорректно отображать данные.

Из-за наличия вируса в системе проблемы скорее всего не будет, если бы эти проблемы существовали, то раскопать распространение инфекции не было бы столь сложной задачей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Помните, в конце апреля Иран обьявил об обнаружении какого-то вируса "Stars" ?

http://threatpost.com/en_us/blogs/new-star...get-iran-042511

Мы еще тогда шутили, что они что-то напутали и вообще. (не могу найти топик, но он был)

Ну вот - похоже что Stars - это был Duqu.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

BBC тогда написала об этом событии, а вот топик тоже что-то не отыскивается :mellow:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Тогда причем тут Венгрия?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun
АЭС «Пакш» (венг. Paksi Atomerőmű) — единственная действующая атомная электростанция в Венгрии. Станция расположена в 100 километрах от Будапешта, в 5 км от города Пакш. Станция построена по советскому проекту, все 4 реактора — типа ВВЭР-440.

Источник

Быть может Венгрия тоже занимается обогащением урана?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

ну нет конечно )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

Kaspersky Lab Protects Against Duqu-originated Zero-day Vulnerability in Windows

Kaspersky Lab would like to thank Microsoft for providing it with certain technical details regarding the vulnerability, which helped speed up the process of detection. All Kaspersky Lab security solutions detect this vulnerability under the name Exploit.Win32.CVE-2011-3402.a as of November 6, 2011.

To A.

MS поделилась инсталятором?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa

наверное MS поделилась инфой

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
наверное MS поделилась инфой

"Kaspersky Lab would like to thank Microsoft for providing it with certain technical details regarding the vulnerability, which helped speed up the process of detection." http://www.kaspersky.com/about/news/produc...lity_in_Windows

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
наверное MS поделилась инфой

MS конечно поделилась инфой (как и со всеми другими антивирусными компаниями). Но тот дроппер который описан в последнем блогпосте - мы заполучили в прошлую субботу. Ну то есть как заполучили - я перерыл полтора гигибайта файлов и нашел :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

A.

По понятным причинам мы не можем раскрыть название компании, объекта атаки в инциденте #1.
Мы не можем предоставить исходный doc-файл другим компаниям.
Мы также не разглашаем в настоящий момент адрес сервера управления

А как вообще происходит взаимодействие в этой сфере? Вы подписываете с компаниями соглашение о неразглашении? Или всё под честное слово? Почему в истории так много недомолвок и неясностей?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa

Ну что здесь скажеш. Хорошая работа, парни. Вы одни из немногих в АВ индустрии проливаете свет на темные уголки мира киберугроз... как то так :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×