Duqu экплуатирует zero-day уязвимость в ядре Windows

Ксения Ренселаева 02 Ноября 2011 - 22:33

Windows

Symantec

Кража данных

Вредоносные программы

Трояны

Уязвимости программ

...

Стали известны новые подробности исследования нашумевшей вредоносной программы Duqu. Венгерская компания CrySyS сообщила о том, что им удалось обнаружить и провести анализ инсталляционного файла трояна, который до сих пор не был никем идентифицирован.

Как выяснилось, данный файл представляет собой документ офисного приложения Microsoft Word (.doc). Инфицирование системы происходит посредством эксплуатации ранее неизвестной, и, соответственно, незакрытой уязвимости в ядре Windows, допускающей выполнение вредоносного кода. В случае запуска файла, на целевой компьютер происходит установка файлов Duqu. Отметим, что корпорация Microsoft уже работает над устранением обнаруженной уязвимости.

Специалисты из компании Symantec отмечают, что документ был сконфигурирован таким образом, чтобы заражение было возможно только в определенный срок, и предназначался только для обозначенных предприятий. Вредоносной программе было отведено на процесс заражения восемь дней в августе текущего года. Заметим, что данный образец инсталляционного файла на момент публикации являлся единственным в своем роде, и не исключено, что существует еще несколько его разновидностей.

В результате инфицирования целевой системы злоумышленники получают возможность управления действиями своего творения. Как показало расследование, проведенное в одной из пострадавших организаций, управление трояном осуществлялось через сетевой протокол прикладного уровня (SMB), используемого для предоставления удаленного доступа к компьютеру. Важно заметить, что некоторые из зараженных машин не имели подключения к Интернет. Однако файлы конфигурации вредоносной программы, найденные на них, были сформированы таким образом, что связь с удаленным контрольно – командным сервером (C&C) осуществлялась через некий общий C&C протокол, посредством которого «общались» все зараженные компьютеры. Таким образом, с помощью остальных компьютеров, которые в данном случае использовались в качестве прокси-серверов, злоумышленники могли получить доступ к безопасной зоне.

Что же касается количества пострадавших предприятий, то на данный момент мнения противоречивы. Специалисты Symantec сообщают о том, что угроза успела распространиться в нескольких странах, несмотря на то, что общее число компаний, подтвердивших наличие угрозы сравнительно не большое. Тем не менее, угроза была замечена в шести организациях, расположенных в восьми странах, таких как Франция, Нидерланды, Швейцария, Украина Индия, Иран, Судан и Вьетнам. Важно отметить, что эта информация была получена через интернет провайдера, а, следовательно, их количество может быть иным. Более того, невозможно точно идентифицировать предприятие по IP адресу.

И наконец, в ходе проведенной работы стало известно о наличии иного образца Duqu, отличного от ранее известных, контрольно – командный сервер которых находился в Индии. У этого экземпляра C&C сервер находится в Бельгии с IP адресом '77.241.93.160'. В настоящий момент он уже отключен.

Следующая главная новость »

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!

Екатерина Быстрова 03 Апреля 2026 - 13:05

macOS iOS Соответствие законодательству РФ Домашние пользователи Apple

Российские аккаунты Apple теперь могут менять регион с активными подписками

У российских пользователей Apple всё-таки появился обходной путь после отключения последнего рабочего способа оплаты подписок. Владельцы российских аккаунтов теперь могут сменить регион Apple ID даже при наличии активных подписок и, что особенно интересно, без привязки нового платёжного метода.

В этом убедился корреспондент «Кода Дурова». Поводом для проверки стала как раз недавняя блокировка оплаты подписок через привычные каналы.

Чтобы понять, что делать дальше, корреспондент издания обратился в англоязычную поддержку Apple с вопросом о смене региона и сохранении данных.

И тут выяснился любопытный момент. Раньше Apple прямо требовала для смены региона сначала отменить все подписки, а затем ещё и дождаться окончания их действия. Но в этот раз поддержка, по данным издания, посоветовала просто проигнорировать эти ограничения. В результате регион удалось без проблем сменить с России на Грузию.

При этом действующая подписка на iCloud+ сохранилась. Изменился только регион аккаунта и валюта оплаты: вместо рублей стала использоваться иностранная валюта.

Годовая подписка на Google One, как отмечает издание, исчезла из списка подписок в аккаунте Apple, но фактически продолжит работать до конца уже оплаченного периода. После этого её можно будет оформить заново уже в другой валюте.

На втором российском аккаунте, где активных подписок не было, эксперимент тоже оказался успешным. Регион снова удалось сменить на Грузию и тоже без указания нового платёжного метода. А это особенно необычно, потому что обычно Apple при такой операции просит карту или другой способ оплаты, привязанный к новому региону.

Правда, полностью беспроблемной эту схему назвать всё же нельзя. Главный стоп-фактор — деньги на балансе Apple ID. Если на счёте что-то осталось, сменить регион не получится. Сначала придётся потратить все средства, а если зависнет мелкий остаток, на который уже ничего нельзя купить, — обращаться в поддержку и просить обнулить баланс.

Есть и ещё один нюанс. По словам читателей, с активной подпиской на Apple Music смена региона всё ещё не проходит. Редакция «Кода Дурова» предполагает, что дело может быть в региональных лицензиях на музыку, и в таком случае придётся всё же дождаться окончания подписки.

Есть мнение, что Apple могла сознательно смягчить ограничения для российских пользователей, чтобы те не теряли доступ к своим данным и продолжали оплачивать сервисы после смены региона.

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!