Перейти к содержанию

Recommended Posts

rkhunter

То что файлы описываемой версии Stuxnet [содержащий прототип главного дроппера Flame в ресурсах] приходили в AV-лабораторию и в последствии догадались их сравнить с "сегодняшним" дроппером, конечно, хорошо. Но вопрос такой...были ли "найдены" реальные компьютеры, зараженные Flame со следами присутствия Stuxnet, т. е. пытался ли последний запустить этот прототип дроппера Flame [из ресурсов] будучи уже у пользователя?

P. S. Не могу найти в паблике хэши так называемого Worm.Win32.Stuxnet.s (собственно как и Trojan-Spy.Win32.Tocy тоже). Он также не в паблике?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
То что файлы описываемой версии Stuxnet [содержащий прототип главного дроппера Flame в ресурсах] приходили в AV-лабораторию и в последствии догадались их сравнить с "сегодняшним" дроппером, конечно, хорошо. Но вопрос такой...были ли "найдены" реальные компьютеры, зараженные Flame со следами присутствия Stuxnet, т. е. пытался ли последний запустить этот прототип дроппера Flame [из ресурсов] будучи уже у пользователя?

Последовательность действий опиши, а то я не догоняю.

а про Tocy/Stux.s я в твиттере недавно писал

https://twitter.com/codelancer/status/208617169364320257

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
Последовательность действий опиши, а то я не догоняю.

На компьютерах, инфицированных Flame [к которым как я понимаю вы имели непосредственный доступ для анализа] были обнаружены следы пребывания Stuxnet?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN

Tocy сам из себя что представляет? Еще одна шпионская программа? Но если она использует модуль flame/stuxnet, то почему она до сих пор не проанализирована, вернее, ее не приписывают к авторам флейма?

У майкрософта по нему только общие слова, где и как он использовался?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

Костин Раю: MD5 дроппера Stuxnet.A, содержащий в ресурсах описываемые прототипы модулей Flame - 2fb979eb3e8d8b1571cdd0df33427969

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
Костин Раю: MD5 дроппера Stuxnet.A, содержащий в ресурсах описываемые прототипы модулей Flame - 2fb979eb3e8d8b1571cdd0df33427969

Раскриптовано/распаковано

stuxnet.jpg

https://www.virustotal.com/file/15de4133ad0...sis/1339434170/

Worm.Win32.Stuxnet.v.

Оригинальный: https://www.virustotal.com/file/67a0b8b4651...9b113/analysis/

Worm.Win32.Stuxnet.z

https://twitter.com/artem_i_baranov/status/...230779911151616

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
На компьютерах, инфицированных Flame [к которым как я понимаю вы имели непосредственный доступ для анализа] были обнаружены следы пребывания Stuxnet?

Были. И ?

Стакснет там был в 2010-2011, например, а Flame попал в 2012.

Tocy сам из себя что представляет? Еще одна шпионская программа? Но если она использует модуль flame/stuxnet, то почему она до сих пор не проанализирована, вернее, ее не приписывают к авторам флейма?

У майкрософта по нему только общие слова, где и как он использовался?

Наверное мы все же не по-русски пишем, раз вы такие вопросы задаете. Или вы читаете неправильно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
Были. И ?

Стакснет там был в 2010-2011, например, а Flame попал в 2012.

Т. е. Стакснет на зараженной тачке мог подсосать/дропнуть модули Флейма? Если да, то для некоторой части зараженных Стакснетом машин понятно откуда там взялся Флейм...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
То что файлы описываемой версии Stuxnet [содержащий прототип главного дроппера Flame в ресурсах] приходили в AV-лабораторию и в последствии догадались их сравнить с "сегодняшним" дроппером, конечно, хорошо.

Это не хорошо.

Это плохо.

Если ты не понял, объясняю уже без условностей.

В 2010 году толпы "рисерчеров", точно так же как сейчас с Flame - втыкали в Stuxnet, изучали его, строчили 100-и страничные Досье и засовывали его под Микроскопы.

Ок. Теперь открываем эти самые Досье и пытаемся там найти описания этого самого 207 ресурса.

Вы удивитесь, но там написан полный булшит, не имеющий отношения к реальности - и не только ошибки в понимании, но и пропущены прям критически важные куски анализа. Где хоть у кого написано про файл ~XTRVWp.dat, в котором собственно и ходил stuxnet ?! Где реальное описание работы autoru.inf ? Ни у кого.

Почему раньше никто не увидел EoP-эксплоит там ? Логично же подумать, что стартуя с флешки - Stuxnet все равно должен был как-то получить привилегии на установку дров ? Хоть кто-то из авторов многостраничных "рисерчей" об этом подумал ? Посмотрел в код ? Фиг там.

Почему сейчас, уже две недели как Flame есть у всех на руках, так же как Stuxnet, но никто так и не удосужился хотя бы проверить наши же заявления о том, что autorun.inf трюк- точно такой же как был в Stuxnet ? Почему никто, кто анализировал Stuxnet раньше, не узнал те самые мютексы от Flame - которые точно должен был уже видеть раньше ?

И еще много других "почему" ...

Наша индустрия превратилась в сборище ретвиттеров-болтунов, неспособных складывать в уме дважды два и неспособных анализировать код.

Я кончил.

Т. е. Стакснет на зараженной тачке мог подсосать/дропнуть модули Флейма? Если да, то для некоторой части зараженных Стакснетом машин понятно откуда там взялся Флейм...

Стакснет мог скачать из своих C2 все, что угодно. Хоть Flame, хоть Duqu, хоть Чернобыль. Это все только предположения - фактов того, что он качал и качал ли - нет (и уже никогда не будет).

А про "дропнуть" модули - ты о чем ? Не дропает Stuxnet никаких модулей Flame.

И опять же - вот машина, Stuxnet там был в 2011 (удален и вылечен), Flame появился в 2012. Какая связь ? Никакой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

Едва ли кто-то из ресерчеров имеет такой же широкий и глубокий охват, статистику по угрозам и их исследованию как Kaspersky (в т. ч. и автоматические системы), доступ к зараженным машинам, эксклюзивные контракты на исследование и т. д. и т. п. Другие вендоры просто могли на это забить. Ты ж сам как-то писал, что компания специализируется именно на расследовании инцидентов, едва ли кто-то из ресерчеров или мелких компаний в состоянии провернуть подобную задачу. Кстати, думаю ты не прав, код то ресерчить умеют, а вот таким крупным охватом как Kaspersky едва ли кто-то может похвастаться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Мля, причем тут охват ?

Вот файл и вот файл. Бери и дизассемблируй это.

Мой камень-то в огород Симантека по большей части.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

Насколько я помню вайт пейпер Симантека про Stuxnet был весьма полным...

На счет Флейма, ITU же обратились за исследованием к Kaspersky а не Symantec...поэтому они вроде как и в хвосте, а может и забили на это...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Насколько я помню вайт пейпер Симантека про Stuxnet был весьма полным...

Вот теперь открой его и найди в нем то, о чем я написал выше.

про есетовский папер я вообще промолчу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN
Наверное мы все же не по-русски пишем, раз вы такие вопросы задаете. Или вы читаете неправильно.

Я понял, что там использовался модуль Стакснета. Но где данная модификация стакснета была замечена, была ли использована в Иране на "объекте"?

Как я понял. у него со стакснетом совпадает только 207-ой раздел, отвечающий за авторан, правильно? А в чем заключается остальной функционал?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN

извините за глупый вопрос не по теме, setup.exe, который распространяется через флешки автораном и который Касперским 6.0 в качестве активного заражения не лечится, это на Кидо похоже?

Прочитал английскую версию, теперь попонятнее стало :)

То есть Туси по-сути является просто дроппером?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kapral
который Касперским 6.0
:D

Какой именно 6.0 - их много и на разных движках )))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valdis
вот кусочек кода из Флейма, когда он пытается лезть по сетке через MS10-061:

var oProcs = s.ExecQuery("SELECT * FROM Win32_Process WHERE name='outpost.exe' or name='aupdrun.exe' or name='op_mon.exe' or name='avp.exe'");

ну и соответственно, если видит такое, то пугается и решает, что лучше туда не лезть :)

А есть ли во Флейме еще подобные кусочки кода?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

A.

какой экспорт в этом раскриптованном дроппере надо подергать чтобы он выплюнул этот atmpsvcn.ocx из 207-го хотя бы в памяти?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
Мой камень-то в огород Симантека по большей части.

В их вайт пейпере по Стакснету есть небольшая информация, которую ты дал по датам...

stuxnet3.jpg

stuxnet4.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

слегка в сторону, сорри.

такая вот вывалилась у нас публикация. Но активный просмотр имеет

http://techno.bigmir.net/technology/152058...t-obshie-cherti

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN
:D

Какой именно 6.0 - их много и на разных движках )))

Знал бы - не спрашивал :)

Тут ситуация следующая, спросили, что с этим делать:

В школе стоит Касперский, некий вирус ловит, но вылечить не может (какое действие они над ним выбирают не знаю, соглашаются ли на лечение активного заражение (такое в 6 есть?) тоже)

Проверяют Др.Вебом, безрезультатно, видит он его или нет не знаю, но, вообщем, вирус не вылечивается, но хотя школьные сисадмины за соответствующие зарплаты могут и через известное место все это выполнять :D

Касперский, скорее всего, самый обычный anti-virus, в школах наших обычно именно шестерка стоит, которую периодически подключают к интернету и обновляют, поэтому по версии тоже точно сказать не могу

Этот вот вирус на флешки через авторан "залезает", файл исполняемый - setup.exe, Avira Free 9 видит.

Больше ничего вытащить не получилось ;)

На что по симптомам похоже?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat
На что по симптомам похоже?

на миллионы вирусов с таким поведением. никаких реальных советов дать нельзя по такому описанию "рост средний, волосы темные"

если сделать логи avz и кинуть на http://virusinfo.info то помогут

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN
на миллионы вирусов с таким поведением. никаких реальных советов дать нельзя по такому описанию "рост средний, волосы темные"

если сделать логи avz и кинуть на http://virusinfo.info то помогут

тут основной симптом - имя файла и невозможность вылечить активное заражение

А то, что есть миллион вирусов с таким поведением и setup.exe, понятно

Ладно, буду так разбираться

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kapral
Знал бы - не спрашивал :)

Тут ситуация следующая, спросили, что с этим делать:

В школе стоит Касперский, некий вирус ловит, но вылечить не может (какое действие они над ним выбирают не знаю, соглашаются ли на лечение активного заражение (такое в 6 есть?) тоже)

Давай сюда Антивирус Касперского - покупка, использование и решение проблем с этой проблемой что бы тут не оффтопить

И сразу

1. Выполните http://support.kaspersky.ru/faq/?qid=208637885

2. Лог выложите на http://www.getsysteminfo.com/

3. Покажите полученную ссылку

Больше ничего вытащить не получилось ;)

На что по симптомам похоже?

Могу только противотанковую клизму админам предложить ))) - обычно в таких случаях и лечение и профилактика

ЗЫ. Там должна быть корпоративная 6ка стоять

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AM_Bot

Создатели самой мощной, из известных на сегодняшний день, вредоносной программы Flame, которую большинство специалистов считают новым видом кибероружия, запустили механизм самоуничтожения программы, полностью убрав ее с некоторых инфицированных компьютеров.

подробнее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×