Ошибка AVAST едва не лишила пользователей доступа в Интернет

Чешский производитель защитных решений выпустил некорректное обновление антивирусных баз, в результате чего множество сайтов Интернета были классифицированы как опасные и блокированы веб-фильтром. Сообщается, что уведомления об "инфекции" появлялись даже при посещении официального форума технической поддержки компании.


Специалисты AVAST Software сработали оперативно и исправили свою ошибку менее чем через час после обнаружения проблемы. В информационном сообщении, которое размещено в корпоративном блоге компании, поясняется, что обновление с кодовым номером 110411-1 заставляло антивирус реагировать на "все сайты, содержащие сценарии определенного формата", так что "многие чистые ресурсы были отмечены как зараженные".

Разработчики известного бесплатного продукта для борьбы с вирусами принесли пользователям извинения и порекомендовали как можно быстрее освежить базы повторно, запустив процедуру обновления вручную через интерфейс программы. Также в блог-записи отмечено, что ложное срабатывание касалось исключительно веб-экрана - а, следовательно, никакие файлы, хранившиеся локально (т.е. на самом компьютере), пострадать от него не могли.

В наши дни ошибочные обновления являются частой проблемой для любых систем антивирусной защиты, основанных на ретроактивном сигнатурном методе обнаружения угроз. Время от времени они прорываются наружу, несмотря на процедуры тщательной проверки всех диагностических образцов перед их выпуском в свет. Что касается данного случая, то набор обновлений либо тестировался на машине, не имевшей доступа к Сети, либо вообще не проверялся на Интернет-совместимость.

The Register

Письмо автору

" />

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Финансистам и промышленникам России раздают бэкдор PhantomDL

В начале этого месяца защитные решения «Лаборатории Касперского» отбили две волны вредоносных рассылок на адреса российских организаций — госструктур, производственных предприятий, финансовых институтов, энергетических компаний.

Суммарно эксперты насчитали около 1000 адресов получателя. Анализ показал, что при открытии вредоносного вложения или активации вставленной ссылки в систему загружается написанный на Go вредонос PhantomDL (продукты Kaspersky детектируют его с вердиктом Backdoor.Win64.PhantomDL).

Поддельные сообщения были написаны от имени контрагента целевой организации и имитировали продолжение переписки. Исследователи предположили, что почтовые ящики отправителей могли взломать, а письма — украсть, чтобы придать убедительность подобным фейкам:

 

Вложенный или указанный ссылкой RAR-архив в большинстве случаев был запаролен. Он содержал маскировочный документ и одноименную папку с файлом, снабженным двойным расширением — например, Счёт-Фактура.pdf .exe.

Последний нацелен на уязвимость CVE-2023-38831 (разработчик WinRAR пропатчил ее в августе прошлого года). После отработки эксплойта в систему устанавливается PhantomDL, используемый для кражи файлов, а также загрузки и запуска дополнительных утилит, в том числе инструмента удаленного администрирования.

По данным экспертов, весной этого года через аналогичные рассылки авторы атак на территории России раздавали DarkWatchman RAT.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru