Опубликован PoC-код, приводящий к BSOD все текущие версии Windows
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Опубликован PoC-код, приводящий к BSOD все текущие версии Windows

Олег Иванов 28 Апреля 2018 - 09:31
...
Опубликован PoC-код, приводящий к BSOD все текущие версии Windows

Румынский эксперт в области кибербезопасности опубликовал на GitHub код proof-of-concept, способный в течение нескольких секунд привести к сбою в работе (BSOD) всех текущих версий Windows. Код сработает даже если компьютер находится в заблокированном состоянии.

В этом случае исследователь Bitdefender Мариуш Тивадар (Marius Tivadar) использовал уязвимость в обработке образов файловой системы NTFS.

Код доказательства концепции, предоставленный экспертом, содержит криво сформированный NTFS-образ, который можно разместить на USB-накопителе. Если подключить этот накопитель к компьютеру с установленной Windows, система через несколько секунд «упадет» в BSOD.

«Автозапуск активирован по умолчанию», — пишет эксперт. — «Однако даже при отключенном автозапуске система обрушится при попытке доступа к файлу, например, в случае, если Защитник Windows попытается просканировать накопитель».

Специалист связался с Microsoft по поводу этого бага еще в июле прошлого года, однако компания тогда отказалась устранять проблему. Это привело к тому, что эксперт взял на себя ответственность опубликовать PoC-код несмотря на непропатченную брешь.

Microsoft уверяет, что проблема не так страшна, поскольку для ее эксплуатации требуется физический доступ к компьютеру жертвы. Исследователь, однако, не согласен с этим утверждением, отмечая, что проблему можно воспроизвести удаленно, воспользовавшись вредоносной программой.

Также Тивадар отметил, что компания не обратила внимания на тот факт, что баг можно использовать на заблокированной системе, что является реальной проблемой. Эксперт считает, что система в таком состоянии не должна считывать данные с произвольных USB-накопителей.

«Я убежден, что этот недостаток должен быть устранен. По моему мнению, ни один драйвер не должен загружаться, ни один код не должен выполняться, когда система заблокирована», — говорит Тивадар.

Специалист опубликовал также два видео, на которых он демонстрирует наличие проблемы.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Вредонос PROMPTFLUX обращается к ИИ Gemini, чтобы менять свой код
Екатерина Быстрова 06 Ноября 2025 - 09:52
Трояны Домашние пользователиКорпорации Google
Вредонос PROMPTFLUX обращается к ИИ Gemini, чтобы менять свой код

Google сообщила о новой экспериментальной вредоносной программе, использующей искусственный интеллект для изменения собственного кода и сокрытия в целевой системе. Речь идет о PROMPTFLUX — вредоносном скрипте на VB Script, который взаимодействует с API Gemini, запрашивая у модели варианты обфускации и обхода антивирусных систем.

Как пояснили специалисты из Google Threat Intelligence Group (GTIG), PROMPTFLUX обращается к Gemini 1.5 Flash (и более поздним версиям), чтобы получать обновлённый код, способный обойти сигнатурное обнаружение.

Вредоносный скрипт использует встроенный API-ключ для отправки запросов напрямую к API Gemini и сохраняет новые версии в папке автозагрузки Windows.

Интересно, что внутри скрипта есть функция саморегенерации — AttemptToUpdateSelf. Хотя она закомментирована и неактивна, наличие логов взаимодействия с ИИ в файле thinking_robot_log.txt говорит о том, что авторы планируют создать «саморазвивающийся» вредоносный код.

 

Google отмечает, что существует несколько вариаций PROMPTFLUX, и в одной из них ИИ получает задачу полностью переписывать код скрипта каждый час. Однако на данный момент программа находится на стадии разработки и не способна заражать устройства. Судя по всему, за проектом стоит группа с финансовой мотивацией, а не государственные хакеры.

Некоторые эксперты, впрочем, считают, что история преувеличена. Исследователь Марк Хатчинс (Marcus Hutchins) заявил, что PROMPTFLUX не демонстрирует реальных признаков «умного» поведения:

«Модель Gemini не знает, как обходить антивирусы. Кроме того, код не имеет механизмов, гарантирующих уникальность или стабильность работы. А функция модификации кода даже не используется».

Тем не менее специалисты Google предупреждают, что злоумышленники активно экспериментируют с использованием ИИ не только для автоматизации задач, но и для создания вредоносных инструментов, которые способны адаптироваться «на лету».

Среди других примеров ИИ-вредоносов, обнаруженных Google, упоминаются:

  • FRUITSHELL — обратная оболочка на PowerShell, обученная обходить системы на основе LLM;
  • PROMPTLOCK — кросс-платформенный вымогатель на Go, использующий LLM для генерации вредоносных скриптов на Lua;
  • PROMPTSTEAL (LAMEHUG) — инструмент, применявшийся группировкой APT28 для атак на Украину;
  • QUIETVAULT — JavaScript-зловред, крадущий токены GitHub и NPM.
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Ищущих работу ИТ-специалистов ловят на фишинговые письма с офферами
Новость
Ищущих работу ИТ-специалистов ловят на фишинговые письма с о...
ИИ пишет коды, как талантливый джуниор, и это подрывает безопасность софта
Новость
ИИ пишет коды, как талантливый джуниор, и это подрывает безо...
Группа Akira заявила о взломе Apache OpenOffice и краже 23 ГБ данных
Новость
Группа Akira заявила о взломе Apache OpenOffice и краже 23 Г...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.