A.

Flame - очередное кибероружие

В этой теме 258 сообщений

Так я не понял СС перехватили уже?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Хе-х, CrySyS молодцы, такой ресерч знатный выкатили

Так я не понял СС перехватили уже?

А чего спрашивать, семплы давно itw, берите и смотрите.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

208193524.png

Вывод напрашивается сам собой ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

CrySyS дал отмашку и Symantec, Kaspersky, Sophos выкатили свои "ресерчи" и все в один день. :facepalm:

В тот же день семпл появился itw...вот КАК?, скажите, КАК? можно верить AV-компаниям после этого?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CrySyS дал отмашку и Symantec, Kaspersky, Sophos выкатили свои "ресерчи" и все в один день. :facepalm:

Не опускайся уж окончательно в моих глазах, очередной раз неся феерический бред о том чего не знаешь.

Дока крайзиса не содержит и 20й части всей информации, которая есть например у нас.

P.S. рекомендую для начала попробовать найти детекты этой штуки хоть у кого нибудь кроме нас :)

P.P.S. Кстати текст от симантека это такой фейл, что я даже его специально сохранил - чтобы потом сравнить с тем насколько написанное ими соответствует действительности (когда это вывалим мы)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Не опускайся уж окончательно в моих глазах, очередной раз неся феерический бред о том чего не знаешь.

Дока крайзиса не содержит и 20й части всей информации, которая есть например у нас.

P.S. рекомендую для начала попробовать найти детекты этой штуки хоть у кого нибудь кроме нас :)

LOL.

Я даже не стану "опускаться" до того, чтобы сравнивать то что ты написал или навыдумывал с той детальной информацией, которую CrySyS кропотливо собрал и выпустил в своем white paper.

Твои "у нас есть" и мы "не публикуем" всем давно известны, ты не удивил, извини.

P.P.S. Кстати текст от симантека это такой фейл, что я даже его специально сохранил - чтобы потом сравнить с тем насколько написанное ими соответствует действительности (когда это вывалим мы)

Они там что-то уже поправили.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Твои "у нас есть" и мы "не публикуем" всем давно известны, ты не удивил, извини.

Извини, но в этот раз у нас есть несколько другие задачи, чем развлекать скучающих ресерчеров. Мы пока работаем на конкретного заказчика и под конкретные цели:

"ITU will use the ITU-IMPACT network, consisting of 142 countries and several industry players, including Kaspersky Lab, to alert governments and the technical community about this cyber threat, and to expedite the technical analysis."

А ты пока можешь втыкать в текст крайзиса и пытаться найти там хоть-что нибудь про MS10-061 например.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Извини, но в этот раз у нас есть несколько другие задачи, чем развлекать скучающих ресерчеров. Мы пока работаем на конкретного заказчика и под конкретные цели:

"ITU will use the ITU-IMPACT network, consisting of 142 countries and several industry players, including Kaspersky Lab, to alert governments and the technical community about this cyber threat, and to expedite the technical analysis."

А ты пока можешь втыкать в текст крайзиса и пытаться найти там хоть-что нибудь про MS10-061 например.

Ты уж извини, я человек простой, не такой небожитель, как работники ЛК, доступа к инфе, которая оказывается уже месяц, а может и больше есть у AV-компаний, в частности ЛК у меня нет.

Мне достаточно было посмотреть на очень детальный анализ и судя по всему такую же крайне кропотливую работу CrySyS. Этим Kaspersky уже по-моему давно не промышляет, "кормя" юзеров какими-то "останками" инфы.

P. S. Ты тут и так пользуешься авторитетом и имеешь доступ ко всей инфе, а еще гонишь на тех, кто пытается сам разобраться в чем-то. У тебя совесть есть?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вот и Хиппонен подтянулся со своим "ресерчем" http://www.f-secure.com/weblog/archives/00002371.html. Вот уж точно кто в который раз высасывает из пальца "истории о шпионаже".

Тебе бы с ним потягаться на cnn или еще где...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вот и Хиппонен подтянулся со своим "ресерчем" http://www.f-secure.com/weblog/archives/00002371.html. Вот уж точно кто в который раз высасывает из пальца "истории о шпионаже".

Тебе бы с ним потягаться на cnn или еще где...

Какие истории, ты о чем? Все что важного микко сказал в паре последних строках "Stuxnet, Duqu and Flame are all examples of cases where we - the antivirus industry - have failed. All of these cases were spreading undetected for extended periods of time." Все остальное можно было бы не писать

Дока крайзиса не содержит и 20й части всей информации, которая есть например у нас.

Два момента. Не важно, что у кого есть. На сегодня это наиболее полный опубликованный анализ. Будет продолжение анализа от ЛК, будет другой разговор. Я понимаю стратегию по вываливанию информации по частям (очень правильно) и понимаю, что анализ все еще продолжается и будет продолжаться еще долго. Ждем хороших и глубоких аналитических обзоров

Если ты говоришь, что в ЛК есть в 20 раз больше инфы, то отчет будет страниц на 1200+????? Я верю, что про этого монстра столько можно написать, но вот вопрос -- надо ли?

Мне достаточно было посмотреть на очень детальный анализ и судя по всему такую же крайне кропотливую работу CrySyS. Этим Kaspersky уже по-моему давно не промышляет, "кормя" юзеров какими-то "останками" инфы.

Я понимаю, что побуждает тебя это писать, но вернись к кейсу Дуку и Стакснета, а потом уж говори про останки информации.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Если ты говоришь, что в ЛК есть в 20 раз больше инфы, то отчет будет страниц на 1200+????? Я верю, что про этого монстра столько можно написать, но вот вопрос -- надо ли?

Я понимаю, что побуждает тебя это писать, но вернись к кейсу Дуку и Стакснета, а потом уж говори про останки информации.

Ладно, человек перенервничал...скорее всего работал на выходных, хотел всех удивить, не очень получилось, с кем не бывает.

На счет F-Secure и господина Хиппонена, ну если всех все устраивает, то ОК...Я только хочу сказать на счет них, что 1)иногда лучше молчать чем говорить 2)я все больше уважаю ESET за их ресерчи по малвари, до такого разглагольствования как Х. и F-Secure они не опускаются..[не удержался]

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ладно, человек перенервничал...скорее всего работал на выходных, хотел всех удивить, не очень получилось, с кем не бывает.

На счет F-Secure и господина Хиппонена, ну если всех все устраивает, то ОК...Я только хочу сказать на счет них, что 1)иногда лучше молчать чем говорить 2)я все больше уважаю ESET за их ресерчи по малвари, до такого разглагольствования как Х. и F-Secure они не опускаются..[не удержался]

1. Ресечи от ЕСЕТ??? Ты про то, что делает Матросов? Годно, но мало

2. Готов рассказать тебе о принципах PR с примерами, подробным анализом ошибок и правильных ПР акций. Разумеется на примере АВ индустрии. Всего за 149.95$ в час.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
1. Ресечи от ЕСЕТ??? Ты про то, что делает Матросов? Годно, но мало

2. Готов рассказать тебе о принципах PR с примерами, подробным анализом ошибок и правильных ПР акций. Разумеется на примере АВ индустрии. Всего за 149.95$ в час.

На счет первого пункта спишем на патологическую нелюбовь ЛК к ИСЕТу.

По поводу второго, Андрей, огромное Вам спасибо за интерес к моей АВ-лаборатории. Мы обязательно рассмотрим ваше предложение. Как Вам будет удобнее давать консультации, по скайпу или мне прилететь в Лондон?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
На счет первого пункта спишем на патологическую нелюбовь ЛК к ИСЕТу.

По поводу второго, Андрей, огромное Вам спасибо за интерес к моей АВ-лаборатории. Мы обязательно рассмотрим ваше предложение. Как Вам будет удобнее давать консультации, по скайпу или мне прилететь в Лондон?

Тебе не понравилось слово "Годно" или " Мало"???

Для клиента ничего не жалко, я готов даже за Ваш счет прилететь в Москву

http://www.cnews.ru/top/2012/05/28/laborat...roruzhie_490954

 особенно доставляют комментарии :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

М-м-м, ну ок - 20 метров. Сколько там реально пейлоада если выкинуть всякие либы деархивации, длл-ки и прочее барахло? Небось с соурсфоржа скомпиленные/общедоступные? :)

P.S. Месяц писать и отлаживать 3000 строк на Lua? По 10 строк в день? (я немного утрирую, но все же). Ленивый какой-то программер. Профи на Lua хреначат AI в компьютерных играх, так что даже и не знаю B)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А куда "Главный антивирусный аналитик" смотался, а? Отсыпается?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

CrySyS Lab опубликовала хэши и сотни ресерчеров по всему миру бросились выпрашивать семплы друг у друга, LOL; вот что я называю миром на задворках AV-цивилизации.

Хорошо еще что есть такие как CrySyS и MIS, хотя бы кусочек свободы можно выхватить у "гигантов".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
P.S. Месяц писать и отлаживать 3000 строк на Lua? По 10 строк в день? (я немного утрирую, но все же). Ленивый какой-то программер.

Может, не программер ленивый, а заказчик раз в пару дней переделывал ТЗ? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Американское палево. Израилю закинули трояна за непослушание, Ирану понятно за что, Сирии тоже понятно за что, Саудовской Аравии наверно за то, что нефть в уменьшенном количестве начали арабы поставлять.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Такой вопрос, а на каких платформах может работать Flame? Только Windows или что-то еще?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Такой вопрос, а на каких платформах может работать Flame? Только Windows или что-то еще?

То что itw, вполне себе PE-файлы.

Это APT, здесь рассчитывают скорее не на платформу, а на жертву, подгоняя уже под нее. У CrySyS модули описаны.

crysyso.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

ITW (у MIS) уже как минимум 8 компонентов. Если нужны хэши/семплы пишите в личку.

BitDefender выпустил standalone тулзу для удаления http://labs.bitdefender.com/2012/05/cyber-...ls-with-flamer/.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS