Перейти к содержанию

Recommended Posts

RuJN

Пиар ход, чтобы заставить пользователей всех читать, возможно

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod
Пиар ход, чтобы заставить пользователей всех читать, возможно

Или одна из сторон что-то недоучла, или Россию специально выделили, хотя не так, как Венгрию. Ну и в перечислении разница.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN
Или одна из сторон что-то недоучла, или Россию специально выделили, хотя не так, как Венгрию. Ну и в перечислении разница.

сравните, скажем, 5 случаев детектов в масштабах России и в масштабах той же Венгрии. По сути их графика это одно и то же :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod
сравните, скажем, 5 случаев детектов в масштабах России и в масштабах той же Венгрии. По сути их графика это одно и то же :)

Ну, каждая из исследующих компаний в таких случаях считает и уверена, что их данные по синкхолам отражают реальную картину.

Ряд других стран у Симантек не выделен.

У Касперских столько заражений в Венгрии нет, чтобы это так подчеркивать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN

Пандовцы еще 30.05.2012 написали у себя пост. Читать конечно нечего, но так, до кучи уж

http://pandalabs.pandasecurity.com/flame-n...espionage-tool/

Слаабенькая попыточка что-то опровергнуть (Панда - по-русски один из немногих антивирусов женского пола :))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
такое бывает с некоторыми компаниями

Если мне не изменяет память, у Стакснета (вроде) у них тоже больше всего в Венгрии. Кризис у нас оттуда? Видимо их компы шлют инфу :lol:

Может завтра, может в понедельник

Ну ок. <_< Правда до понедельника дожить надо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kapral
Правда до понедельника дожить надо.

Понедельник начинается в субботу © Стругацкие

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.
Понедельник начинается в субботу © Стругацкие

... а июль начнётся в августе. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

Catched!

MD5: 7d49d4a9d7f0954a970d02e5e1d85b6b

SHA1: e6c671bc74d638cc2aa5cce656d8e1461dc7bb79

File size: 458869 bytes

Name: browse32.ocx

PE Exports....................:

EnableBrowser, StartBrowse

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Он не большой, но прикольный, да :)

ну вот, журналист нашел. а "рисерчеры" нет :)

http://www.zdnet.com.au/flame-lights-its-o...m?tag=mncol;txt

From here, infected machines received a new module from the remaining command and control servers — browse32.ocx — which has the purpose of covering Flame's tracks. It not only has a hit-list of all Flame-related files and folders to delete, but it subsequently rewrites random characters on the disk to ensure that the old data can't be retrieved.

There is one exception to the firing squad, and that is a temporary file: ~DEB93D.tmp. According to CrySyS' research (PDF), it is an encrypted file that contains a SQLite database of NetBIOS name look-ups. In theory, it would provide forensic teams with the ability to determine the names of all the computers it was able to see and possibly infect.

Вот именно поэтому мы и писали

http://www.securelist.com/en/blog/20819353...and_BeetleJuice

As a consequence, we can provide a method for a quick ”manual” check of your systems for presence of a Flame infection:

1. Perform a search for the file ~DEB93D.tmp. Its presence on a system means that it either is or has been infected by Flame.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
ну вот, журналист нашел.

Едва ли

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Catched!

MD5: 7d49d4a9d7f0954a970d02e5e1d85b6b

SHA1: e6c671bc74d638cc2aa5cce656d8e1461dc7bb79

File size: 458869 bytes

Name: browse32.ocx

Как я показал выше - чтобы найти этот "баг" - файл даже не нужен :)

Достаточно просто уметь читать и сравнивать тексты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
Как я показал выше - чтобы найти этот "баг" - файл даже не нужен :)

Достаточно просто уметь читать и сравнивать тексты.

Хе-х, журналисты на то и нужны...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

Кстати объявилось еще одно "недостающее звено" - msglu32.ocx.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Кстати объявилось еще одно "недостающее звено" - msglu32.ocx.

Что значит недостающее звено и почему ?

Этот файл всю жизнь был внутри ресурса 146 из основного mssecmgr и ставится в систему моментально. Так же как и прочая пачка файлов.

Или за полторы недели толпы "рисерчеров" так даже и не сподобились разобрать 146 ресурс ? Или даже сам mssec запустить не осилили ??

P.S. Даю подсказку тогда уж, чего там еще можно найти ))

dr.JPG

post-413-1339087126_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
Что значит недостающее звено и почему ?

Смотрели, смотрели и по этому же 146-му дропперы "идентифицировали", что-то я совсем в этих именах/хэшах запутался.

Еще скрин делал своей зараженной тачки, а файл тогда не сохранил в спешке.

flamer1w.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

А не-не, все верно, просто их две версии как минимум этого msglu32.ocx, а у меня все по хэщам, они и не совпали. Скорее всего от другого дроппера второй.

SHA1: d53b39fb50841ff163f6e9cfd8b52c2e

SHA1: 2512321f27a05344867f381f632277d8

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
CWI cryptanalist discovers new cryptographic attack variant in Flame spy malware http://www.cwi.nl/news/2012/cwi-cryptanali...ame-spy-malware

АдЪ...

Подозреваю, что подобных поверхностных до***бов станет поменьше:

drweb_sergeyko.PNG

post-3744-1339107205_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
АдЪ...

Подозреваю, что подобных поверхностных до***бов станет поменьше:

drweb_sergeyko.PNG

Да, многим клоунам, которые на прошлой неделе развяли языки - пришлось на этой неделе завязать их себе обратно.

Былинные отказы конечно случились с "экспертами" Тренда

http://www.anti-malware.ru/blog/3035/9273

и Вебрута

https://www.pcworld.com/businesscenter/arti...media_hype.html

"In terms of sophistication we believe it is nowhere near Zeus, Spyeye or TDL4 for example. Essentially Flame at its heart is an over-engineered threat that doesn’t have a lot of new elements to it--essentially a 2007 era technology."

Надеюсь стена их выдержала.

P.S. И это еще не конец :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

И все равно как малварь он очень хорошо и быстро удаляется, выносится из ветки реестра через regedit и больше не восстанавливает свой айтем.

Из так скажем "руткит"-технологий - это патчинг shell32.dll (Xuetr показыват 7 байт) в памяти и добавление фейковых айтемов в PEB, чтобы скрыть активность unknown start address thread.

active2.png

Инжектируется в winlogon, services, explorer.

activen.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat

Хотелось бы услышать прогноз развития кибер оружия в свете возможностей этих трех обнаруженных duqu stuxnet flame.

Насколько часто будут обнаруживаться - прогноз возрастания применения.

Какие технические возможности будут возможно применены в свете приложенных ресурсов целого государства - например взлом шифров

Какие последствия применения - локальные войны, экономические санкции, изменение законов

Какие меры противостояния должны появиться в связи с таким высокоточным целевым оружием.

Короче - что нас ждет.

п.с. интервью Е.К. читал

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

еще одни клоуны

Yes, and it did – Bit9 stopped the Flame attack in our customer base. The attempted penetration began as far back as October of last year and continued until last month, and each time Bit9 tracked the behavior and prevented its execution, long before anyone even heard of “Flame.”

ололо

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

Меня больше пугает/забавляет вот это их заявление.

“None of the 43 tested antiviruses could detect any

of the malicious components.”

Iran National CERT (MAHER) 5-28-2012

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×