Перейти к содержанию

Recommended Posts

mike 1

«Лаборатория Касперского» сообщила о том, что шпионская программа Flame, которая активно используется для сбора важных данных компьютерных систем Ближнего Востока, при заражении хостов внутри локальной сети выдает себя за прокси-сервер службы Windows Update, осуществляя, таким образом, атаку «человек посередине». Ранее большинство экспертов склонялись к тому, что вирусописатели вооружили Flame эксплоитом к уязвимости нулевого дня, так как эта вредоносная программа поражала даже полностью обновленные версии Windows 7.

Подробнее: http://www.securitylab.ru/news/425350.php

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN

ЛК молодцы. Смогли удержать пиар. В отличии от ВирусБлокАды, за которую реально обидно в истории со Stuxnet, потому что даже сейчас их называют an AV firm from Belorus, не упоминая названия. А ведь они могли сделать очень мощный пиар, как, например, в этом случае.

Я не спорю, что это НЕ исключительно пр ход, но все же систуация распиаренная на ура.

Просто ЛК проспала мощный вал шумихи в прессе с Flashback, теперь, видимо PR-отделу и вирлабу была поставлена ответственная задача найти подходящую угрозу и раздуть из нее сенсацию. (зевая) Just a business...

Вот тут Винсент Пьеро из ZDNet France пишет о том, что шумиха вокруг Flame, по его мнению, сильно преувеличена и является PR-ходом одной известной антивирусной компании:

http://www.zdnet.fr/actualites/flame-peut-....htm#xtor=RSS-1

C'est possible. Все преувеличивают, я так думаю. ЛК преувеличивает в степени Х с реальным уровнем угрозы, все остальные, преувеличивая, опять же в степени Х, заявляют, что это пр ход ЛК. Как всегда, не разберешь :)

Можно предположить, что семплы чего-то натипо Flame, его прототипов как минимум, уже попадали в вирлабы и на основе них можно уже давно было бы эврестически сдетектить вот этот Флейм. Но ведь и в ЛК, и в ДрВебе, на скалы от not registered users внимания не обращают.

----------------

Возьмем за еще одну рабочую теорию, что это попытка Кремля настроить мировое сообщество против США. Просто предположим и продолбим уважать Лабораторию Касперского, ВБА, Агнитум и пр.

Но если и правда так, как в последнем случае, то будем считать, что РФ не является основной целевой аудиторией

А Аваст его детектит?

Какие результаты сейчас дает проверка на ВТ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

вы еще очень скоро очень сильно ох^%ете в этой всей связи

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN

А вдруг Евгений Касперский готовит себе дойстойного преемника в лице Александра Гостева? Ведь именно он является автором всех постов на эту тему.

Других кандидатур особо нет, очень мало, в тех части тем более.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
вы еще очень скоро очень сильно ох^%ете в этой всей связи

Так. Ну это уже более интересно :D Намекни, в какую сторону смотреть, чтобы наблюдать очертания того, от чего так вставит?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegSych
вы еще очень скоро очень сильно ох^%ете в этой всей связи

Неужели появились неопровержимые доказательства причастности какой то из сторон? :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA

Это СПАРТААА!! :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN
Так и запишем -- сдался и опустил руки.

Если нечего сказать, то есть пара вариантов -- опровергать важность события (пример ты привел) или, поняв, что проспал, готовить правильный ответ (пример хорошего ответа был совсем недавно).

А что за пример хорошего ответа?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN

Полстраны следит за #оккупайдумой, а компьютерщиков половина за #Flame :) Интересно получается

А если серьезно, завтра займусь изготовлением единого отчета, скомпоновав все ресерчи, а то информация очень разбросанная. А может и сайт состряпаю :) Просвещать непросвещенных надо, а то из новостей они мало чего узнают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod
По некоторым данным, Flame был направлен против ядерной программы Ирана, но специалисты также утверждают, что вирусом могли пользоваться террористы, так как вредоносное ПО способно вывести из строя бортовые системы Boeing 787
:wacko:

Ну как бы, что некоторые Боинги до сих пор летают на 3.11 в курсе, но не до такой же степени.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Неужели появились неопровержимые доказательства причастности какой то из сторон? :rolleyes:

Хуже :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
Хуже :D

Не тяни, Саныч!

А вдруг Евгений Касперский готовит себе дойстойного преемника в лице Александра Гостева? Ведь именно он является автором всех постов на эту тему.

Других кандидатур особо нет, очень мало, в тех части тем более.

Вот это поворот :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Feeble
вы еще очень скоро очень сильно ох^%ете в этой всей связи

Cимантек пишет вирусы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat
Cимантек пишет вирусы?

А MS их подписывает :) и распространяет.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CatalystX

Да все три вредоноса: Stuxnet, Duqu, Flame и возможно не обнаруженный до сих пор Viper, написаны группами хакеров на заказ от АНБ. Это очевидно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
А MS их подписывает :) и распространяет.

Symantec и сам может что либо подписать...

__________.png

Не тяни, Саныч!

Плюсую.

post-5261-1338966023_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN
:wacko:

Ну как бы, что некоторые Боинги до сих пор летают на 3.11 в курсе, но не до такой же степени.

Не обязательно террористы. Тогда когда-то же, например, кажется, перед операцией в Ираке, военная техника вся полегла по радиосигналу, заложенным производителем.

http://www.argumenti.ru/print/toptheme/n340/179193

Летают, но в любой момент могут упасть или вообще...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Не обязательно террористы. Тогда когда-то же, например, кажется, перед операцией в Ираке, военная техника вся полегла по радиосигналу, заложенным производителем.

http://www.argumenti.ru/print/toptheme/n340/179193

Летают, но в любой момент могут упасть или вообще...

Какие боинги? Вы какую то хренотень вообще обсуждаете.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
B .
вы еще очень скоро очень сильно ох^%ете в этой всей связи

Мировая прогрессивная общественность замерла в предвкушении.

Вообще, конечно, будет действительно интересно, если специалистам из ЛК удастся раскопать нечто сенсационное. Заинтриговали.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod

RuJN

Далеко ходить не надо, в дополнение к вашему примеру, из недавнего:

http://www.anti-malware.ru/news/2012-05-28/9220 а первоисточник http://www.xakep.ru/post/58757/

Софтварный то бэкдор или хардварный - приятного мало.

Похоже, дело все больше идет к тому, когда цифровые подписи, сертификаты одних не будут признаваться или однозначно относиться к категории доверенных другими, в связи с чем все чаще лишь одного будет недостаточно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
Symantec и сам может что либо подписать...

Для этого же вроде и покупался VeriSign, до этого AFAIR они не подписывали...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
~Джон Доу~
Это СПАРТААА!! :lol:

неа, это ® המוסד למודיעין ולתפקידים מיוחדים

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Feeble
Не обязательно террористы. Тогда когда-то же, например, кажется, перед операцией в Ираке, военная техника вся полегла по радиосигналу, заложенным производителем.

Насколько я понимаю, американцы вещали неправильное время по гражданскому GPS.

"В январе 2007 года в Сан-Диего начали происходить странные события: перестали работать банкоматы, пропала сотовая связь, нарушилась работа системы мониторинга рейсов в аэропорту и т.д. Хаос длился два часа, пока не выяснилась причина: возле побережья стояли два военных корабля ВМС США, которые осуществляли учебную отработку действий в условиях потери связи. Для этого была активирована система активных помех GPS.

По оценке журнала GPS World, сейчас в мире находится в использовании более миллиарда приёмников GPS, и более 90% из них используются только для получения сигналов точного времени. http://habrahabr.ru/post/115148/"

Сори за оффтоп.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Для этого же вроде и покупался VeriSign, до этого AFAIR они не подписывали...

Ну мы про сейчас.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • Ego Dekker
      Антивирусы были обновлены до версии 13.1.16. В числе прочего добавлены совместимость с Windows 10 20H1 и поддержка Windows 10 20H2.
    • Ego Dekker
      Программа для удаления продуктов ESET обновилась до версии 9.0.1.0. Для просмотра всех команд запустите утилиту с параметром /help. 
    • santy
      1. на самом деле можно и не удалять, а редактировать единственный критерий для создания запросов. Было бы только удобно формировать такой запрос.... например, "все объекты с цифровой, которая не входит в белый список". здесь ты одним значением не найдешь их фильтруя все объекты сквозным образом по ИНФО, как минимум необходимо два условия, а значит и два значения вводить для запроса. 2. подсветки нет, но это наверное не самое главное. для скорости анализа важно, (хотя бы строку из инфо, которая соответствует критерию).... когда ИНФО содержит много информации. для формирования скрипта- не критично. 3. старых и новых критериев нет. все действующие. ненужные удалить. хотя может и полезно было бы ставить check "отключить" или "включить" данное правило в базе.
        вся эта работа выполняется на стадии формирования списка объектов автозапуска. все исполняемые файлы, которые встречаются по ссылкам в реестре, в cmdLine, и проч. Если ты набрал в поиске по наименованию "cmd.exe", ты уже нашел данный объект в списке со всей его историей (ИНФО), собранной на стадии формирования образа автозапуска.... в какие параметры, ссылки входит в реестре или в cmdLine. цитата "выше Разве?" взята из предложения по деструктивным действиям чистых файлов, когда эти деструктивные действия находятся с помощью критериев, но чистый хэш снимает статус, подтверждающий дейструктивность действия данного файла в анализируемой системе.
    • PR55.RP55
      Недостатки uVS:
      1) Невозможно задать временный критерий. После поиска созданный критерий нужно удалять... Решение: При создании критерия добавить чек бокс:  НЕ вносить изменений в snms [ V ] 2) В Инфо. нет подсветки по типу поиска в браузере ( подсветить всё найденное ) 3) Поиск идёт по всем критериям -  по старым и по новым. Когда критериев много ( а их много ) такой поиск теряет смысл. Разве ? Нет смысла искать в других полях по: каталог; имя производителя; цифровой подписи; хэш. Напомню:  " Пока что вижу эти: wmic.exe, vssadmin.exe, cmd.exe, svchost.exe + powershell.exe+ netsh.exe конечно, остальные можно по мере поступления добавить.  "      
×