Иранская группа CERT обнаружила вредонос, стирающий данные с компьютеров

Иранская группа CERT обнаружила вредонос, стирающий данные с компьютеров

 Иранская группа CERT (Maher CERTCC) предупреждает различные организации о том, что её специалисты обнаружили вредоносную программу,Trojan.Batchwiper, способную стирать файлы с заражённых компьютеров. Специалисты Maher CERTCC утверждают, что существующие антивирусные решения не способны обнаружить данную киберугрозу.

 

Специалисты компании Symantec также проанализировали вредоносную программу, обнаруженную Maher CERTCC. Они утверждают, что вредонос не столь сложен, как может показаться. В Symantec уточняют, что обнаруженная иранскими специалистами вредоносная программа просто стирает все данные с несистемных разделов жёстких дисков (с D по I) заражённых компьютеров.

Вредоносная программа также удаляет файлы, расположенные на рабочем столе пользователя, учётная запись которого активна на момент атаки. Как только процесс удаления выполнен, вредонос запускает программу Chkdsk, которая сканирует пострадавшие жёсткие диски.

 Исследователи отмечают одну необычную особенность этой вредоносной программы: она активизируется и удаляет файлы лишь в строго определённые дни (по 3 дня в строго определённые месяцы). Например, с момента обнаружения она работала лишь 10, 11 и 12 декабря 2012 года, а затем отключилась. Исходя из полученных данных, исследователи предполагают, что следующий раз программа активизируется в январе, мае, июле, ноябре 2013 года, а также в феврале, мае, августе 2014 года и в феврале 2015.

Пока исследователям не удалось обнаружить какую-либо связь между новым вредоносом и Stuxnet, Gauss или Flame.

 

 Иранская группа CERT (Maher CERTCC) предупреждает различные организации о том, что её специалисты обнаружили вредоносную программу,Trojan.Batchwiper, способную стирать файлы с заражённых компьютеров. Специалисты Maher CERTCC утверждают, что существующие антивирусные решения не способны обнаружить данную киберугрозу.

" />

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Критическая уязвимость в sudo позволяет запустить любую команду как root

Опубликован PoC-код для уязвимости в sudo, позволяющей с помощью опции -R (--chroot) обойти системные ограничения и выполнить вредоносный код с правами суперпользователя. Патч включен в состав обновления 1.9.17p1.

Появившаяся с выходом сборки sudo 1.9.14 функция chroot() создает изолированную среду, в которой текущий и дочерние процессы могут работать, не имея доступа к объектам и ресурсам за пределами указанного корневого каталога.

Соответствующая команда выполняется на уровне root. Ее использование определяется правилами, прописанными в файле /etc/sudoers.

Уязвимость повышения привилегий CVE-2025-32463 (9,3 балла по CVSS) возникла из-за того, что при изменении корневого каталога sudo начинает резолвить пути к файлам, не завершив проверку параметров настройки в sudoers.

В результате у злоумышленников появилась возможность с помощью этой утилиты протащить в систему стороннюю библиотеку общего пользования, создав фейковый /etc/nsswitch.conf.

Уязвимости подвержены sudo версий с 1.9.14 по 1.9.17 включительно. Патч вышел в прошлом месяце в составе сборки 1.9.17p1; он откатывает изменения, привнесенные в 1.9.14, с пометкой, что использовать chroot не рекомендуется.

По словам разработчиков, со следующим выпуском sudo от неудачно реализованной и редко используемой опции не останется и следа.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru