Microsoft выпустила временную заплатку против Duqu

Microsoft опубликовала исправление для критической уязвимости в Windows, которая эксплуатируется вредоносной программой Duqu. Это временный патч, который должен будет защищать пользователей от угрозы до тех пор, пока не выйдет постоянная "заплатка".


Напомним, что изъян существует в механизме обработки шрифтов Win32k TrueType и актуален для всех поддерживаемых версий операционной системы Windows - в том числе для Windows 7 и Server 2008, которые на данный момент рассматриваются как наиболее защищенные продукты Microsoft. Именно эту уязвимость злоумышленники используют для распространения Duqu - инфекции, которую ряд экспертов считает потомком широко и печально известного вируса Stuxnet.

Microsoft опубликовала информационный бюллетень по данной ошибке безопасности; в нем поясняется, что успешная эксплуатация уязвимости позволяет запустить произвольный код в режиме ядра, предоставляя тем самым возможность устанавливать постороннее программное обеспечение, считывать, изменять и удалять данные, создавать новые учетные записи с полным набором привилегий доступа и т.п. По данным корпорации, уязвимость не получила широкого применения, однако были зарегистрированы попытки ее использования в целевых атаках.

Временное решение, опубликованное специалистами Microsoft, доступно здесь. Насколько можно судить по имеющейся информации, суть его состоит в блокировке доступа к библиотеке t2embed.dll, отвечающей за обработку шрифтов TrueType; пользователи могут скачать утилиту Fixme, которая выполнит операцию в автоматическом режиме, или установить блок вручную, введя соответствующую инструкцию в командную строку Windows. Пока доподлинно не известно, будет ли постоянное исправление включено в состав ноябрьского набора патчей; не исключено, что появления "заплатки" придется подождать.

The Register

Письмо автору

" />

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Кряки популярных программ используются для кражи Monero и вывода данных

Исследователи из Bitdefender выявили серию атак, нацеленных на кражу данных, а также криптовалюты из кошельков Monero. Как оказалось, злоумышленники с этой целью уже три года распространяют вредоносную программу под видом пиратских копий популярных офисных инструментов и редакторов изображений.

При запуске фальшивый кряк работает как дроппер — загружает в систему экземпляр легитимной утилиты ncat.exe и прокси-сервер Tor, а также командный файл для Netcat. Все файлы помещаются в служебную папку SysWOW64 и в совокупности обеспечивают автору атаки бэкдор, позволяющий совершать различные действия на зараженной машине с помощью команд, подаваемых из сети Tor.

Тестирование вредоноса выявило следующие возможности:

  • отправка локальных файлов через Tor на указанный сервер; 
  • запуск клиента BitTorrent (видимо, для вывода краденых данных);
  • отключение файрвола перед отправкой добычи;
  • кража информации из браузера (история, сохраненные пароли, сеансовые куки) и формирование архивного файла с помощью 7-Zip для пересылки;
  • кража Monero из криптокошелька с использованием консольного клиента monero-wallet-cli.exe.

Поиск onion-домена командного сервера осуществляется циклическим перебором портов с 8000 по 9000. Для обмена данными организуется сокет-соединение. Чтобы обеспечить зловреду постоянное присутствие, в системе создаются специальный сервис и запланированное задание на запуск каждые 45 минут.

Исследование также показало, что управление бэкдором осуществляется, скорее всего, в интерактивном режиме, а не автоматизированными методами.

Наибольшее количество заражений обнаружено в США и Индии.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru