Перейти к содержанию

Recommended Posts

mike 1
А что ожидали от них то? Предсказуемый результат.

Я думал они проведут более детальный анализ этого вредоносного ПО. Но получилось так, что мол а вот ЛК там что-то нашла, а теперь пугает всех "Судным днем" ^_^

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
но Веб, как всегда повеселил facepalm.gif

"Но обнаружился самый главный недостаток - эту функцию разработали не программисты MS..." (с) бородатые компьютерные анекдоты :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

9.

via http://labs.alienvault.com/labs/index.php/...w-old-is-flame/

Другой вариант mssecmgr.ocx -

MD5: ee4b589a7b5d56ada10d9a15f81dada9

2009-07-29 08:45:52 UTC

Оригинальный mssecmgr.ocx

Screen-shot-2012-05-30-at-12.23.20-PM.png

Worm:Win32/Flame.gen!B

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
9.

via http://labs.alienvault.com/labs/index.php/...w-old-is-flame/

Другой вариант mssecmgr.ocx -

MD5: ee4b589a7b5d56ada10d9a15f81dada9

2009-07-29 08:45:52 UTC

Оригинальный mssecmgr.ocx

Screen-shot-2012-05-30-at-12.23.20-PM.png

Worm:Win32/Flame.gen!B

Хороший ресурс, кучка хэшей для добавления. Даже есть один пропуск ЛК. У Доктора пропусков больше, потому вирус "неинтересный". :)

UPD у Dr.Web: 4 пропуска из наличествующих 14-ти файлах \добавлено, записи ещё нет в релизе\. У ЛК - 1.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

Согласовали хэши с Касимовым Михаилом, vt и malware.lu, получилось.

- 18 сэмплов/хэшей от компонентов, различных версий и дат

- 14 сэмплов + 4 которых еще нет

- Из них 4 от 2009, один от 2010, еще один от 2011, остальные свежак.

http://artemonsecurity.blogspot.com/2012/0...r-goes-itw.html

очень хороший анализ компонента soapr32.ocx на http://stratsec.blogspot.com/2012/05/flame...soapr32ocx.html

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Если кроме вирустотала и пары хантеров больше нет источников малвари вывод напрашивается сам собой.

Какой же?

Я думал они проведут более детальный анализ этого вредоносного ПО. Но получилось так, что мол а вот ЛК там что-то нашла, а теперь пугает всех "Судным днем"

Так они и про Stuxnet и про Duqu молчали также.

**************************

А кто-нибудь из более искушенных может рассказать откуда и кто вообще решил, что есть такой мощный вредонос с кучей модулей, а также нашел гос. след этого всего хозяйства? Интересуют только факты.

В источниках написано, что некоторые файлы успешно детектились давно. Так что произошло то? Спусковой ключек - это что в данном случае?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
Какой же?

А какая разница слить семпл по хэшу, подсмотрев его или взять семпл с зараженной машины?

А кто-нибудь из более искушенных может рассказать откуда и кто вообще решил, что есть такой мощный вредонос с кучей модулей, а также нашел гос. след этого всего хозяйства? Интересуют только факты.

Решили, например, Iran National CERT (MAHER) и International Telecommunication Union (ITU). Последние судя по всему обратились к Kaspersky за помощью в расследовании.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

Не ясно следующее:

Мы полагаем, что проект Flame в основной части был создан не раньше 2010 года...

То что Kaspersky детектирует как Worm.Win32.Flame.a (ee4b589a7b5d56ada10d9a15f81dada9) было в дикой природе уже в Июле 2009.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.

Хотелось бы от Мелкософта что-нибудь почитать. Или и не будет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Решили, например, Iran National CERT (MAHER) и International Telecommunication Union (ITU).

Политический контр-PR Ирана? Не допускаете? Персы очень хитрые. :) Взять всю индустрию на такую лакомую приманку гарантировано не составило бы труда.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

По тому, что сейчас пишут, вся работа по расследованию легла на плечи Kaspersky.

CrySys даже себе накопировали информации, по одному из компонентов, из последнего ресерча Gostev-a и обновили доку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod
По словам Гостева, история началась 25 апреля 2012 г., когда Иран заявил о странном удалении данных с компьютеров нефтяной компании. Пропавшая информация касалась отношений с клиентами предприятия: даты, объемы поставок и т.п. База была не просто удалена, поверх рабочих данных для исключения возможности их восстановления мусорные байты были записаны несколько раз.

В Израиле есть факты аналогичных удалений?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
По заказу подключившегося к решению проблемы Международного союза электросвязи (ITU) «Лаборатория» начала исследование. «Мы обнаружили следы присутствия троянской программы с богатой функциональностью на нескольких компьютерах в регионе, т.е. на Ближнем Востоке», - говорит Гостев.

Ну вот более менее ясно, как история с обнаружением развивалась.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

Позабавило:

I see Kaspersky would like us individual researchers to share our samples of malware with them, but where is their links to share their samples with us? Duqu's been long dead, and it's exploit long patched, and this sample is still under lock and key. The same with Stuxnet. Is Flame going to be the same way?
I agree with you on how they should release Flame, but Stuxnet is already publicly available. If you look hard enough on the internet, you can find a download for either the binaries or decompiled source code of Stuxnet.

Perhaps you might want to check this --> www.contagiodump.blogspot.com

Кстати от себя замечу, в некоторых случаях, Kaspersky все-таки делился хэшами, если попросить об этом

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

Нашли еще 2 версии MSSECMGR.OCX размером по 1236992 bytes.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mike 1

Эксперты по безопасности полагают, что разработчики Flame могли использовать zero-day в Windows Media Player.

Подробнее: http://www.securitylab.ru/news/425189.php

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
maxz

Ничего не меняется. Индустрия клоунов как обычно профукивает все, что мало мальски сложнее VBS. После начинаются интриги, скандалы, женские расследования.

Клоуны они такие, да.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kapral
После начинаются интриги, скандалы, женские расследования.

Не осторожно публично свои планы светить :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

А вот Рик Фергюсон из Trend Micro считает Flame раздутым PR одной антивирусной компании

http://www.anti-malware.ru/blog/3035/9273

Довольно интересно мнение. Человек приводит примеры других угроз со схожими характеристиками.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kapral

да без проблем придумать такие совпадения

берется 2 независмых факта

и с умным видом изрекается, а вот Ф1 появился за 23.5 часа до Ф2 - какой интригующий факт

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
А вот Рик Фергюсон из Trend Micro считает Flame раздутым PR одной антивирусной компании

http://www.anti-malware.ru/blog/3035/9273

Довольно интересно мнение. Человек приводит примеры других угроз со схожими характеристиками.

И эти проспали угрозу и пытаются вскочить в ПР поезд отрицая угрозу. Что-то подобное мы уже видели, не так ли?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • demkd
      привет, а это в какой системе? Я ничего подобного ни на 7-ке ни на 10-ке не наблюдаю.
    • Momo
      Господа, есть такой светящийся порошок - люминофор. Вот он мне необходим. Где такой можно достать? Никто не знает? 
    • santy
      Привет. в последнее время часто попадает в образе массовое нарушение цифровой подписи для системных файлов. Нет ли здесь ошибки при проверки системных файлов? пример:
         
    • zakazvzlomax
      Предлагаем Вашему вниманию ПРОФЕССИОНАЛЬНЫЕ УСЛУГИ ВЗЛОМА ПОЧТОВЫХ ЯЩИКОВ. Ломаем почти все почтовики, процент удачного взлома 30%. Вы спросите почему именно мы? Все просто: - Индивидуальный подход к каждому клиенту и каждому заказу.
      - Короткие сроки выполнения заказа, от нескольких минут до 5 дней.
      - Пароль от почты не меняем, он останется прежним.
      - Оплата после взлома почтового ящика по факту.
      - Предоставим любые доказательства (сделаем скриншоты, процитируем ваше письмо, а так же любые ваши варианты).
      - Постоянным и оптовым заказчикам хорошие скидки.
      - Принимаем различные способы оплаты (Яндекс.Деньги, Qiwi, Bitcoin).
      - Большой опыт взлома почты. Цена взлома почты на данный момент составляет - 3000 рублей.
      Цена на взлом почты намерено установлена ниже рыночной, т.к. на данный момент ведется набор клиентской базы, в дальнейшем планируется повышение. Как сделать заказ?
      Просто напишите нам на почту [email protected] почтовый ящик жертвы и мы начнем работу.
      После успешного взлома мы с Вами связываемся, предоставляем все доказательства взлома, Вы переводите оплату и получаете пароль от взломанного ящика.
      Согласны на любые проверки и гаранта! Наши контакты для заказа:
      почта: [email protected]
    • Ego Dekker
      Антивирусы были обновлены до версии 13.0.24.
×