Flame - очередное кибероружие

[A. 876]

А куда "Главный антивирусный аналитик" смотался, а? Отсыпается?

Ты настолько разбираешься в теме и все знаешь, что пожалуй я оставлю этот топик тебе. А сам буду выдавать информацию в других местах. Все равно она тебе не интересна, обрывочна и устарела.

[rkhunter 150]

Ты настолько разбираешься в теме и все знаешь, что пожалуй я оставлю этот топик тебе. А сам буду выдавать информацию в других местах. Все равно она тебе не интересна, обрывочна и устарела.

Если б ты по-человечески умел разговаривать, а не истерить, было бы куда лучше.

[OlegAndr 236]

Чего то никто не пишет про распространение \ первичное заражение.

[rkhunter 150]

Странно что говорят, некоторым компонентам "много лет", есть там один семпл годовой давности, но это не 3 или 5 лет...

[rkhunter 150]

Чего то никто не пишет про распространение \ первичное заражение.

Если верить АВерам, инфекции появились 3 или 5 лет назад, но это абсолютно ничем не подтверждается, пока...мало кто в это верит.

Условно говоря один семпл валялся на вирустотале год, пока, о чудо 28 мая он не стал W32.Flamer.

[Milord 55]

Если я правильно понял, ещё в начале мая Iran National CERT (MAHER) разослало детект вендорам, или не так?

[mike 1 57]

"Bitdefender выпустила утилиту удаления W32.Flamer" - http://labs.bitdefender.com/2012/05/cyber-...ls-with-flamer/

[Сергей Ильин 1538]

Виталий Камлюк из ЛК только что по Евроньюз комментировал новость про Flame. Неплохо, неплохо

[_Stout 131]

Виталий Камлюк из ЛК только что по Евроньюз комментировал новость про Flame. Неплохо, неплохо

http://www.euronews.com/2012/05/29/flame-v...in-middle-east/

[A. 876]

Если верить АВерам, инфекции появились 3 или 5 лет назад, но это абсолютно ничем не подтверждается, пока...мало кто в это верит.

Условно говоря один семпл валялся на вирустотале год, пока, о чудо 28 мая он не стал W32.Flamer.

Не знаю каких аверов ты читаешь, но мы четко и ясно сказали - по нашим 100% данным (у нас есть и этот сампл (один из модулей) и даже был у нас детект оказывается) как минимум с августа 2010 года. Но это только один из модулей. Основной (mssecmgr) не детектился никем до недавнего времени.

По косвенным данным - он гуляет с марта-февраля 2010. Вся информация про 3 и 5 лет - это домыслы, пока не подтвержденные фактами. Домыслы основаны на именах файлов.

Если я правильно понял, ещё в начале мая Iran National CERT (MAHER) разослало детект вендорам, или не так?

Не так. Какие-то самплы (список есть) - они разослали только вчера.

[rkhunter 150]

Не знаю каких аверов ты читаешь

Как минимум CrySys

Возможно, только по имени файла, да.

Это интервью на euronews, я даже не знаю смеяться или плакать

Что там РБК несли по поводу того, что он записывает разговоры скайпа и отсылает их в неизвестном направлении и показывая ракурсы московского офиса ЛК? ЛК сказали - это самый страшный вирус, OMG

- Отсутствие оригинальных 0day.

- Отсутствие украденных сертификатов.

- Отсутствие каких-либо передовых технологий.

- Модули типа кейлоггера, кражи аккаунтов, скриншоты были давно реализованы в малвари типа SpyEye.

- Некоторые заявляют он ходил уже с 2007, хотя Gostev это отрицает.

- Одному из компонентов, который попал itw уже год и только сейчас он попал в базы.

- Хорошо спланированная массовая PR-компания со стороны Sophos, Kaspersky, Symantec и других АВеров, которые закричали не то что в одно время, в один день и чуть ли не в один и тот же час.

- и т. д.

Кстати, когда Kaspersky добавил записи Worm.Win32.Flame.a в базу, чтобы он мог детектироваться у пользователя?

[SDA 750]

Обзор Symantec http://us.norton.com/flamer-highly-sophist...le-east/article

[Milord 55]

Не так. Какие-то самплы (список есть) - они разослали только вчера.

Во время написания статьи, ни одно из 43 антивирусных решений не было способно обнаружить ни один из вредоносных модулей этой программы. Тем не менее, уже в первые дни мая, центром Maher был создан и отправлен некоторым организациям так называемый «детектор» программы.

http://www.certcc.ir/index.php?name=news&a...le&sid=1894

http://safetygate.ru/index.php?topic=1921.msg73780#new

[_Stout 131]

ЛК сказали - это самый страшный вирус, OMG

- Отсутствие оригинальных 0day.

- Отсутствие украденных сертификатов.

- Отсутствие каких-либо передовых технологий.

- Модули типа кейлоггера, кражи аккаунтов, скриншоты были давно реализованы в малвари типа SpyEye.

- Некоторые заявляют он ходил уже с 2007, хотя Gostev это отрицает.

- Одному из компонентов, который попал itw уже год и только сейчас он попал в базы.

- Хорошо спланированная массовая PR-компания со стороны Sophos, Kaspersky, Symantec и других АВеров, которые закричали не то что в одно время, в один день и чуть ли не в один и тот же час.

- и т. д.

Дружище, тут у меня уже не выдержали нервы. Ты бы вместо того чтобы писать здесь много букв, взял бы и выкатил свой анализ малвари. Вот тогда и посмотрим на что ты годишься и насколько Флейм страшен и сложен. Может и правда не так страшен черт как его малюют, а?

[rkhunter 150]

Дружище, тут у меня уже не выдержали нервы. Ты бы вместо того чтобы писать здесь много букв, взял бы и выкатил свой анализ малвари. Вот тогда и посмотрим на что ты годишься и насколько Флейм страшен и сложен. Может и правда не так страшен черт как его малюют, а?

Еще по сути есть что сказать?

[rkhunter 150]

+1 и того точно 8.

Список хэшей с описанием https://code.google.com/p/malware-lu/wiki/en_malware_flamer и алиасы АВеров http://artemonsecurity.blogspot.com/2012/0...r-goes-itw.html.

Хэши от Sophos: http://www.sophos.com/en-us/threat-center/...d-analysis.aspx

Небольшой анализ компонента cuckoobox http://blog.cuckoobox.org/2012/05/29/cuckoo-in-flame/

[Сергей Ильин 1538]

А где Исет со своим анализом, где посты Матросова про Flame?

[_Stout 131]

Еще по сути есть что сказать?

А тебе?

[CatalystX 25]

А где Исет со своим анализом, где посты Матросова про Flame?

До них еще не дошло . Или уже всем вирлабом переводят статью симантек на русский.

[rkhunter 150]

А тебе?

Да а мне то, что...? Остается только смотреть как Kaspersky грамотно делает очень хорошие деньги на AV-индустрии. Слава их маркетологам.

В целом анти-малваре совсем поредел, раньше тут хоть кто-то кучковался, а сейчас один "Главный" шороху наводит, становится реально неинтересно здесь.

[SDA 750]

А где Исет со своим анализом, где посты Матросова про Flame?

Про Исет неизвестно, но Веб, как всегда повеселил

[_Stout 131]

Да а мне то, что...? Остается только смотреть как Kaspersky грамотно делает очень хорошие деньги на AV-индустрии. Слава их маркетологам.

В целом анти-малваре совсем поредел, раньше тут хоть кто-то кучковался, а сейчас один "Главный" шороху наводит, становится реально неинтересно здесь.

Так и запишем -- сдался и опустил руки.

но Веб, как всегда повеселил

Если нечего сказать, то есть пара вариантов -- опровергать важность события (пример ты привел) или, поняв, что проспал, готовить правильный ответ (пример хорошего ответа был совсем недавно).

[rkhunter 150]

Если нечего сказать, то есть пара вариантов -- опровергать важность события (пример ты привел) или, поняв, что проспал, готовить правильный ответ (пример хорошего ответа был совсем недавно).

Если кроме вирустотала и пары хантеров больше нет источников малвари вывод напрашивается сам собой.

[mike 1 57]

Про Исет неизвестно, но Веб, как всегда повеселил

Кстати я автор этой темы на форуме DrWeb они как-то не серьезно отнеслись к этому вирусу.

[Danilka 678]

Кстати я автор этой темы на форуме DrWeb они как-то не серьезно отнеслись к этому вирусу.

А что ожидали от них то? Предсказуемый результат.