Перейти к содержанию

Recommended Posts

RuJN

Feeble

Там что-то с французскими самолетами были, неожиданно из строя вышли

Vsevolod

В таком случае изменятся методы защиты кардинально, сейчас все к этому и идет

Только вот прогнозы о немысленном росте кол-ва малвари не сбываются, как видим.

Какие боинги? Вы какую то хренотень вообще обсуждаете.

Это как раз одна из строн ИБ, тоже относится к кибервойнам. Предлагаю вынести в отдельную тему

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Это как раз одна из строн ИБ, тоже относится к кибервойнам. Предлагаю вынести в отдельную тему

Да, в Юмор. Туда же и автомобили с Windows.

И это тоже:

i-20.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
B .
Symantec - Флеймер обзавелся деинсталлятором

Интересно, он при заражении не требует скачать и установить Net.Framework?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN
Интересно, он при заражении не требует скачать и установить Net.Framework?

Правильно .Net Framework

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Symantec - Флеймер обзавелся деинсталлятором http://www.symantec.com/connect/blogs/flamer-urgent-suicide

Чуваки из Симантека наконец-то перевели мой рассказ на английский :)

http://safe.cnews.ru/news/top/index.shtml?2012/05/31/491394

@Когда операторы Flame решили удалить свое ПО из контролируемого «Лабораторией» узла (Гостев связывает это с тем, что ничего ценного на этой машине не было), в очередной пришедшей команде на деинсталяцию содержался полный список файлов и ключей реестра, используемых программой. Это сильно помогло аналитикам понять ее полный функционал, включая подгружаемые модули.@

Ой, нет, даже наверное все-таки прочитали оригинальный английский текст

http://www.securelist.com/en/blog/20819352...ons_and_Answers

Does Flame have a built-in Time-of-Death like Duqu or Stuxnet ?

There are many different timers built-in into Flame. They monitor the success of connections to the C&C, the frequency of certain data stealing operations, the number of successful attacks and so on. Although there is no suicide timer in the malware, the controllers have the ability to send a specific malware removal module (named ”browse32”), which completely uninstalls the malware from a system, removing every single trace of its presence.

Ой, упс, да они его только сейчас обнаружили оказывается! :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Ой, упс, да они его только сейчас обнаружили оказывается!

Они просто грамотно выдержали паузу, чтобы не смотрелось как копи-паст ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

To A.

Все зараженные машины подсасывают browse32.ocx?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Они просто грамотно выдержали паузу, чтобы не смотрелось как копи-паст ;)

Да нет, они правда его только сейчас обнаружили :) Ну когда на выходных один из C2 ожил.

To A.

Все зараженные машины подсасывают browse32.ocx?

Не все. Только те которые коннектились к конкретному C2. Это зависит от их конфигурации и версии.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Чуваки из Симантека наконец-то перевели мой рассказ на английский :)

http://safe.cnews.ru/news/top/index.shtml?2012/05/31/491394

Ой, упс, да они его только сейчас обнаружили оказывается! :)

Конечно, конечно. Верим :facepalm:

http://us.norton.com/flamer-highly-sophist...le-east/article

http://community.norton.com/t5/Ask-Marian/...ast/ba-p/727852

http://www.symantec.com/connect/blogs/pain...cture-w32flamer

http://www.symantec.com/connect/blogs/flam...e-bluetoothache

http://www.symantec.com/connect/blogs/w32f...ks-and-exploits

http://www.symantec.com/connect/blogs/w32f...date-man-middle

http://www.symantec.com/connect/blogs/w32f...data-collection

Это все перевод статей Гостева :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

ну вообще-то да :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
Это зависит от их конфигурации и версии.

Недавно об этом написали Fortinet http://blog.fortinet.com/flame-q-a/.

Хэши дропперов и соответствующие для них C2 для подсасывания.

These samples are variations of the main modules of the Flame malware.

flamers.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Недавно об этом написали Fortinet http://blog.fortinet.com/flame-q-a/.

Хэши дропперов и соответствующие для них C2 для подсасывания.

ну а теперь сравни этот список со списком тех доменов, которые мы засинкхолили и с которых точно browse32 не отдавался

flashupdates.info, nvidiadrivers.info, nvidiasoft.info, nvidiastream.info, rendercodec.info, syncstream.info, videosync.info, dnslocation.info, dnsmask.info, dnsportal.info, dnsupdate.info, flushdns.info, localgateway.info, pingserver.info, serveflash.info, serverss.info, autosync.info, bannerspot.in, bannerzone.in, micromedia.in, mysync.info, newsync.info, syncdomain.info, synclock.info, syncprovider.info, syncsource.info, syncupdate.info and ultrasoft.in.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN
rkhunter
ну а теперь сравни этот список со списком тех доменов, которые мы засинкхолили и с которых точно browse32 не отдавался

Угу, спасибо за инфу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Он не большой, но прикольный, да :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
When we first discovered Flame, we started looking in its code for at least one exploit that used a zero-day vulnerability to spread Flame and infect other machines inside the network. Given its sophistication and the fact that it infected fully patched Windows 7 machines, there should have been one. What we’ve found now is better than any zero-day exploit. It actually looks more like a “god mode” cheat code – valid code signed by a keychain originating from Microsoft.

http://www.securelist.com/en/blog/20819356...TM_proxy_server

По-моему не совсем понятно, как происходило изначальное заражение, даже этим подписанным загрузчиком/инфектором...

Как он приходил, кем распространялся? Спам, фишинг или еще чего...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

A., так когда мы дождемся того, отчет ох...ем?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
http://www.securelist.com/en/blog/20819356...TM_proxy_server

По-моему не совсем понятно, как происходило изначальное заражение, даже этим подписанным загрузчиком/инфектором...

Как он приходил, кем распространялся? Спам, фишинг или еще чего...

Ну на флешках например же.

Хотя конечно точечно все было, вероятней всего по мылу засылали доунлоадер. Ищем-ищем.

A., так когда мы дождемся того, отчет ох...ем?

Может завтра, может в понедельник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.
http://us.norton.com/flamer-highly-sophist...le-east/article

Карта покрытия имеет различия с версиями от Касперских.

Кстати да.

Почему так? Смотрел пару дней назад этот отчёт и сравникал с ЛКшным.

Или особенности всяких "облак", по типу КСН?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
http://us.norton.com/flamer-highly-sophist...le-east/article

Карта покрытия имеет различия с версиями от Касперских.

такое бывает с некоторыми компаниями, которые в спешке добавляют детект по имени файла единственного модуля из более чем 20, притом с неуникальным именем.

Зато Макафи с нами все сходится

http://blogs.mcafee.com/mcafee-labs/spread...-windows-update

И вообще - смотрите статистику коннектов на наш синкхол. Там она знаете ли вообще не зависит от антивирусов и облаков.

http://www.securelist.com/en/images/pictur...g/208193554.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod
такое бывает с некоторыми компаниями, которые в спешке добавляют детект по имени файла единственного модуля из более чем 20, притом с неуникальным именем.

Зато Макафи с нами все сходится

http://blogs.mcafee.com/mcafee-labs/spread...-windows-update

Ну так может как раз Макафи рисовали под кальку с вас, а Симантек пошел своим путем, подчеркнув почему-то Венгрию пожирнее (соответствующая фирма, которая с вами в с содействии изначально расследует, возможно, не просто так оттуда отказалась), Россию на карте выделили, случайно ли, вспомнив, откуда Пети Нортоны (не оттуда совсем)?

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×