Перейти к содержанию

Recommended Posts

mike 1
А что ожидали от них то? Предсказуемый результат.

Я думал они проведут более детальный анализ этого вредоносного ПО. Но получилось так, что мол а вот ЛК там что-то нашла, а теперь пугает всех "Судным днем" ^_^

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
но Веб, как всегда повеселил facepalm.gif

"Но обнаружился самый главный недостаток - эту функцию разработали не программисты MS..." (с) бородатые компьютерные анекдоты :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

9.

via http://labs.alienvault.com/labs/index.php/...w-old-is-flame/

Другой вариант mssecmgr.ocx -

MD5: ee4b589a7b5d56ada10d9a15f81dada9

2009-07-29 08:45:52 UTC

Оригинальный mssecmgr.ocx

Screen-shot-2012-05-30-at-12.23.20-PM.png

Worm:Win32/Flame.gen!B

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
9.

via http://labs.alienvault.com/labs/index.php/...w-old-is-flame/

Другой вариант mssecmgr.ocx -

MD5: ee4b589a7b5d56ada10d9a15f81dada9

2009-07-29 08:45:52 UTC

Оригинальный mssecmgr.ocx

Screen-shot-2012-05-30-at-12.23.20-PM.png

Worm:Win32/Flame.gen!B

Хороший ресурс, кучка хэшей для добавления. Даже есть один пропуск ЛК. У Доктора пропусков больше, потому вирус "неинтересный". :)

UPD у Dr.Web: 4 пропуска из наличествующих 14-ти файлах \добавлено, записи ещё нет в релизе\. У ЛК - 1.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

Согласовали хэши с Касимовым Михаилом, vt и malware.lu, получилось.

- 18 сэмплов/хэшей от компонентов, различных версий и дат

- 14 сэмплов + 4 которых еще нет

- Из них 4 от 2009, один от 2010, еще один от 2011, остальные свежак.

http://artemonsecurity.blogspot.com/2012/0...r-goes-itw.html

очень хороший анализ компонента soapr32.ocx на http://stratsec.blogspot.com/2012/05/flame...soapr32ocx.html

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Если кроме вирустотала и пары хантеров больше нет источников малвари вывод напрашивается сам собой.

Какой же?

Я думал они проведут более детальный анализ этого вредоносного ПО. Но получилось так, что мол а вот ЛК там что-то нашла, а теперь пугает всех "Судным днем"

Так они и про Stuxnet и про Duqu молчали также.

**************************

А кто-нибудь из более искушенных может рассказать откуда и кто вообще решил, что есть такой мощный вредонос с кучей модулей, а также нашел гос. след этого всего хозяйства? Интересуют только факты.

В источниках написано, что некоторые файлы успешно детектились давно. Так что произошло то? Спусковой ключек - это что в данном случае?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
Какой же?

А какая разница слить семпл по хэшу, подсмотрев его или взять семпл с зараженной машины?

А кто-нибудь из более искушенных может рассказать откуда и кто вообще решил, что есть такой мощный вредонос с кучей модулей, а также нашел гос. след этого всего хозяйства? Интересуют только факты.

Решили, например, Iran National CERT (MAHER) и International Telecommunication Union (ITU). Последние судя по всему обратились к Kaspersky за помощью в расследовании.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

Не ясно следующее:

Мы полагаем, что проект Flame в основной части был создан не раньше 2010 года...

То что Kaspersky детектирует как Worm.Win32.Flame.a (ee4b589a7b5d56ada10d9a15f81dada9) было в дикой природе уже в Июле 2009.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.

Хотелось бы от Мелкософта что-нибудь почитать. Или и не будет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Решили, например, Iran National CERT (MAHER) и International Telecommunication Union (ITU).

Политический контр-PR Ирана? Не допускаете? Персы очень хитрые. :) Взять всю индустрию на такую лакомую приманку гарантировано не составило бы труда.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

По тому, что сейчас пишут, вся работа по расследованию легла на плечи Kaspersky.

CrySys даже себе накопировали информации, по одному из компонентов, из последнего ресерча Gostev-a и обновили доку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod
По словам Гостева, история началась 25 апреля 2012 г., когда Иран заявил о странном удалении данных с компьютеров нефтяной компании. Пропавшая информация касалась отношений с клиентами предприятия: даты, объемы поставок и т.п. База была не просто удалена, поверх рабочих данных для исключения возможности их восстановления мусорные байты были записаны несколько раз.

В Израиле есть факты аналогичных удалений?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
По заказу подключившегося к решению проблемы Международного союза электросвязи (ITU) «Лаборатория» начала исследование. «Мы обнаружили следы присутствия троянской программы с богатой функциональностью на нескольких компьютерах в регионе, т.е. на Ближнем Востоке», - говорит Гостев.

Ну вот более менее ясно, как история с обнаружением развивалась.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

Позабавило:

I see Kaspersky would like us individual researchers to share our samples of malware with them, but where is their links to share their samples with us? Duqu's been long dead, and it's exploit long patched, and this sample is still under lock and key. The same with Stuxnet. Is Flame going to be the same way?
I agree with you on how they should release Flame, but Stuxnet is already publicly available. If you look hard enough on the internet, you can find a download for either the binaries or decompiled source code of Stuxnet.

Perhaps you might want to check this --> www.contagiodump.blogspot.com

Кстати от себя замечу, в некоторых случаях, Kaspersky все-таки делился хэшами, если попросить об этом

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

Нашли еще 2 версии MSSECMGR.OCX размером по 1236992 bytes.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mike 1

Эксперты по безопасности полагают, что разработчики Flame могли использовать zero-day в Windows Media Player.

Подробнее: http://www.securitylab.ru/news/425189.php

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
maxz

Ничего не меняется. Индустрия клоунов как обычно профукивает все, что мало мальски сложнее VBS. После начинаются интриги, скандалы, женские расследования.

Клоуны они такие, да.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kapral
После начинаются интриги, скандалы, женские расследования.

Не осторожно публично свои планы светить :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

А вот Рик Фергюсон из Trend Micro считает Flame раздутым PR одной антивирусной компании

http://www.anti-malware.ru/blog/3035/9273

Довольно интересно мнение. Человек приводит примеры других угроз со схожими характеристиками.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kapral

да без проблем придумать такие совпадения

берется 2 независмых факта

и с умным видом изрекается, а вот Ф1 появился за 23.5 часа до Ф2 - какой интригующий факт

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
А вот Рик Фергюсон из Trend Micro считает Flame раздутым PR одной антивирусной компании

http://www.anti-malware.ru/blog/3035/9273

Довольно интересно мнение. Человек приводит примеры других угроз со схожими характеристиками.

И эти проспали угрозу и пытаются вскочить в ПР поезд отрицая угрозу. Что-то подобное мы уже видели, не так ли?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×