Перейти к содержанию

Recommended Posts

RuJN

Feeble

Там что-то с французскими самолетами были, неожиданно из строя вышли

Vsevolod

В таком случае изменятся методы защиты кардинально, сейчас все к этому и идет

Только вот прогнозы о немысленном росте кол-ва малвари не сбываются, как видим.

Какие боинги? Вы какую то хренотень вообще обсуждаете.

Это как раз одна из строн ИБ, тоже относится к кибервойнам. Предлагаю вынести в отдельную тему

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Это как раз одна из строн ИБ, тоже относится к кибервойнам. Предлагаю вынести в отдельную тему

Да, в Юмор. Туда же и автомобили с Windows.

И это тоже:

i-20.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
B .
Symantec - Флеймер обзавелся деинсталлятором

Интересно, он при заражении не требует скачать и установить Net.Framework?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN
Интересно, он при заражении не требует скачать и установить Net.Framework?

Правильно .Net Framework

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Symantec - Флеймер обзавелся деинсталлятором http://www.symantec.com/connect/blogs/flamer-urgent-suicide

Чуваки из Симантека наконец-то перевели мой рассказ на английский :)

http://safe.cnews.ru/news/top/index.shtml?2012/05/31/491394

@Когда операторы Flame решили удалить свое ПО из контролируемого «Лабораторией» узла (Гостев связывает это с тем, что ничего ценного на этой машине не было), в очередной пришедшей команде на деинсталяцию содержался полный список файлов и ключей реестра, используемых программой. Это сильно помогло аналитикам понять ее полный функционал, включая подгружаемые модули[email protected]

Ой, нет, даже наверное все-таки прочитали оригинальный английский текст

http://www.securelist.com/en/blog/20819352...ons_and_Answers

Does Flame have a built-in Time-of-Death like Duqu or Stuxnet ?

There are many different timers built-in into Flame. They monitor the success of connections to the C&C, the frequency of certain data stealing operations, the number of successful attacks and so on. Although there is no suicide timer in the malware, the controllers have the ability to send a specific malware removal module (named ”browse32”), which completely uninstalls the malware from a system, removing every single trace of its presence.

Ой, упс, да они его только сейчас обнаружили оказывается! :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Ой, упс, да они его только сейчас обнаружили оказывается!

Они просто грамотно выдержали паузу, чтобы не смотрелось как копи-паст ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

To A.

Все зараженные машины подсасывают browse32.ocx?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Они просто грамотно выдержали паузу, чтобы не смотрелось как копи-паст ;)

Да нет, они правда его только сейчас обнаружили :) Ну когда на выходных один из C2 ожил.

To A.

Все зараженные машины подсасывают browse32.ocx?

Не все. Только те которые коннектились к конкретному C2. Это зависит от их конфигурации и версии.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Чуваки из Симантека наконец-то перевели мой рассказ на английский :)

http://safe.cnews.ru/news/top/index.shtml?2012/05/31/491394

Ой, упс, да они его только сейчас обнаружили оказывается! :)

Конечно, конечно. Верим :facepalm:

http://us.norton.com/flamer-highly-sophist...le-east/article

http://community.norton.com/t5/Ask-Marian/...ast/ba-p/727852

http://www.symantec.com/connect/blogs/pain...cture-w32flamer

http://www.symantec.com/connect/blogs/flam...e-bluetoothache

http://www.symantec.com/connect/blogs/w32f...ks-and-exploits

http://www.symantec.com/connect/blogs/w32f...date-man-middle

http://www.symantec.com/connect/blogs/w32f...data-collection

Это все перевод статей Гостева :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
Это зависит от их конфигурации и версии.

Недавно об этом написали Fortinet http://blog.fortinet.com/flame-q-a/.

Хэши дропперов и соответствующие для них C2 для подсасывания.

These samples are variations of the main modules of the Flame malware.

flamers.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Недавно об этом написали Fortinet http://blog.fortinet.com/flame-q-a/.

Хэши дропперов и соответствующие для них C2 для подсасывания.

ну а теперь сравни этот список со списком тех доменов, которые мы засинкхолили и с которых точно browse32 не отдавался

flashupdates.info, nvidiadrivers.info, nvidiasoft.info, nvidiastream.info, rendercodec.info, syncstream.info, videosync.info, dnslocation.info, dnsmask.info, dnsportal.info, dnsupdate.info, flushdns.info, localgateway.info, pingserver.info, serveflash.info, serverss.info, autosync.info, bannerspot.in, bannerzone.in, micromedia.in, mysync.info, newsync.info, syncdomain.info, synclock.info, syncprovider.info, syncsource.info, syncupdate.info and ultrasoft.in.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN
rkhunter
ну а теперь сравни этот список со списком тех доменов, которые мы засинкхолили и с которых точно browse32 не отдавался

Угу, спасибо за инфу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Он не большой, но прикольный, да :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
When we first discovered Flame, we started looking in its code for at least one exploit that used a zero-day vulnerability to spread Flame and infect other machines inside the network. Given its sophistication and the fact that it infected fully patched Windows 7 machines, there should have been one. What we’ve found now is better than any zero-day exploit. It actually looks more like a “god mode” cheat code – valid code signed by a keychain originating from Microsoft.

http://www.securelist.com/en/blog/20819356...TM_proxy_server

По-моему не совсем понятно, как происходило изначальное заражение, даже этим подписанным загрузчиком/инфектором...

Как он приходил, кем распространялся? Спам, фишинг или еще чего...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

A., так когда мы дождемся того, отчет ох...ем?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
http://www.securelist.com/en/blog/20819356...TM_proxy_server

По-моему не совсем понятно, как происходило изначальное заражение, даже этим подписанным загрузчиком/инфектором...

Как он приходил, кем распространялся? Спам, фишинг или еще чего...

Ну на флешках например же.

Хотя конечно точечно все было, вероятней всего по мылу засылали доунлоадер. Ищем-ищем.

A., так когда мы дождемся того, отчет ох...ем?

Может завтра, может в понедельник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.
http://us.norton.com/flamer-highly-sophist...le-east/article

Карта покрытия имеет различия с версиями от Касперских.

Кстати да.

Почему так? Смотрел пару дней назад этот отчёт и сравникал с ЛКшным.

Или особенности всяких "облак", по типу КСН?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
http://us.norton.com/flamer-highly-sophist...le-east/article

Карта покрытия имеет различия с версиями от Касперских.

такое бывает с некоторыми компаниями, которые в спешке добавляют детект по имени файла единственного модуля из более чем 20, притом с неуникальным именем.

Зато Макафи с нами все сходится

http://blogs.mcafee.com/mcafee-labs/spread...-windows-update

И вообще - смотрите статистику коннектов на наш синкхол. Там она знаете ли вообще не зависит от антивирусов и облаков.

http://www.securelist.com/en/images/pictur...g/208193554.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod
такое бывает с некоторыми компаниями, которые в спешке добавляют детект по имени файла единственного модуля из более чем 20, притом с неуникальным именем.

Зато Макафи с нами все сходится

http://blogs.mcafee.com/mcafee-labs/spread...-windows-update

Ну так может как раз Макафи рисовали под кальку с вас, а Симантек пошел своим путем, подчеркнув почему-то Венгрию пожирнее (соответствующая фирма, которая с вами в с содействии изначально расследует, возможно, не просто так оттуда отказалась), Россию на карте выделили, случайно ли, вспомнив, откуда Пети Нортоны (не оттуда совсем)?

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • demkd
      привет, а это в какой системе? Я ничего подобного ни на 7-ке ни на 10-ке не наблюдаю.
    • Momo
      Господа, есть такой светящийся порошок - люминофор. Вот он мне необходим. Где такой можно достать? Никто не знает? 
    • santy
      Привет. в последнее время часто попадает в образе массовое нарушение цифровой подписи для системных файлов. Нет ли здесь ошибки при проверки системных файлов? пример:
         
    • zakazvzlomax
      Предлагаем Вашему вниманию ПРОФЕССИОНАЛЬНЫЕ УСЛУГИ ВЗЛОМА ПОЧТОВЫХ ЯЩИКОВ. Ломаем почти все почтовики, процент удачного взлома 30%. Вы спросите почему именно мы? Все просто: - Индивидуальный подход к каждому клиенту и каждому заказу.
      - Короткие сроки выполнения заказа, от нескольких минут до 5 дней.
      - Пароль от почты не меняем, он останется прежним.
      - Оплата после взлома почтового ящика по факту.
      - Предоставим любые доказательства (сделаем скриншоты, процитируем ваше письмо, а так же любые ваши варианты).
      - Постоянным и оптовым заказчикам хорошие скидки.
      - Принимаем различные способы оплаты (Яндекс.Деньги, Qiwi, Bitcoin).
      - Большой опыт взлома почты. Цена взлома почты на данный момент составляет - 3000 рублей.
      Цена на взлом почты намерено установлена ниже рыночной, т.к. на данный момент ведется набор клиентской базы, в дальнейшем планируется повышение. Как сделать заказ?
      Просто напишите нам на почту [email protected] почтовый ящик жертвы и мы начнем работу.
      После успешного взлома мы с Вами связываемся, предоставляем все доказательства взлома, Вы переводите оплату и получаете пароль от взломанного ящика.
      Согласны на любые проверки и гаранта! Наши контакты для заказа:
      почта: [email protected]
    • Ego Dekker
      Антивирусы были обновлены до версии 13.0.24.
×