(495) 987-19-37
491624410

отправить вопрос

Покупателям

Партнерам

Форум по продуктам

запомнить на этом компьютере

забыли пароль?	регистрация

Ваша корзина пуста

Мои заказы

Главная / Найдено в сети

Тема: «Новая уязвимость. Идёт через флэш, но не по autorun.inf» в форуме: «Найдено в сети»

Тема: «Новая уязвимость. Идёт через флэш, но не по autorun.inf » в форуме: Найдено в сети

owl78
Опытный

Всего сообщений: 106
Репутация: 25
Дата регистрации: 19.11.2008

Создано: 11.07.2010 01:27:49

Компания «ВирусБлокАда» сообщает об обнаружении вредоносной программы, использующей новую уязвимость для своего распространения.

Модули данной программы были впервые обнаружены специалистами компании «ВирусБлокАда» ( www.anti-virus.by ) 17 июня 2010 года и добавлены в антивирусные базы как Trojan-Spy.0485 и Malware-Cryptor.Win32.Inject.gen.2. В процессе анализа было обнаружено, что вирус распространяется через USB-накопители. При этом заражение происходит не известным ранее способом через файл autorun.inf, а через уязвимость в обработке lnk-файлов. Таким образом, пользователю достаточно открыть инфицированный накопитель в Microsoft Explorer или в любом другом файловом менеджере, который умеет отображать иконки в lnk-файлах (к примеру, Total Commander), чтобы произошло заражение системы, и вредоносная программа получила управление.

Получив управление, вредоносная программа заражает систему, внедряя в нее два драйвера: mrxnet.sys и mrxcls.sys. Эти файлы были добавлены в антивирусные базы соответственно как Rootkit.TmpHider и SScope.Rookit.TmpHider.2. Особенность данных драйверов состоит в том, что они подписаны цифровой подписью, сертификат на которую выдан известной компании Realtek Semiconductor Corp. ( www.realtek.com ). После установки драйверов происходит загрузка вредоносного кода в системные процессы, а также скрываются следы присутствия инфицированных файлов на USB-накопителе. Поэтому пользователь и не видит “лишние” файлы на флэшке.

Таким образом, данную вредоносную программу можно отнести к категории наиболее опасных, т.к. в ней используются технологии, представляющие риск для заражения многих компьютеров и начала вирусной эпидемии.

После того, как нашими специалистами были добавлены записи в антивирусную базу на описанные выше вредоносные программы, в Технической Поддержке компании было зарегистрировано множество обращений с симптомами, указывающими на заражение Rootkit.TmpHider и SScope.Rookit.TmpHider.2 в нескольких точках мира
Источник

Профиль

E-Mail

Наверх

Faland
Старожил

Злобный, красноглазый психолог.

Всего сообщений: 786
Репутация: 63
Дата регистрации: 03.06.2008

Создано: 12.07.2010 10:47:16

хех) ВижуалБэйсикАнтивирус (как очень метко выразился камрад Серго) чё-та нашёл)

Если серьёзно, таких симтомов не наблюдал ещё. Но, как говорится, за предупреждение спасибо.
Осталось сообразить как бы не подцепить ету заразу. Мот быть FAR?

Респект антимонополии на рынке харда и софта!!!

Профиль

E-Mail

Наверх

Adjuster
Корифей

Всего сообщений: 2581
Репутация: 99
Дата регистрации: 03.02.2009

Создано: 14.07.2010 10:02:17

Цитата

Обзор вредоносных программ
Trojan-Spy.0485 и Malware-
Cryptor.Win32.Inject.gen.2
Купреев Олег
Уласень Сергей
ВирусБлокАда
17 июня 2010 года специалистами компании «ВирусБлокАда» (www.anti-virus.by)
была обнаружена вредоносная программа, модули которой получили имена Trojan-
Spy.0485
(http://www.virustotal.com/ru/analisis...971bd28a45
5b20c2067cb512c9f9a0f8-1278584177) и Malware-Cryptor.Win32.Inject.gen.2
(http://www.virustotal.com/ru/analisis...289bc5692b
72931f3a12c3041832628-1278584115). Файлы, соответственно, имели названия
~wtr4132.tmp (513536 байт) и ~wtr4141.tmp (25720 байт). Функционал данной
вредоносной программы содержал в себе, в том числе, и руткит-технологии.
Метод распространения
Вирус распространяется через USB-накопители. При этом распространение
происходит не стандартным способом через файл autorun.inf, а через уязвимость в lnk-
файлах. Т.е. пользователю достаточно открыть инфицированный USB-накопитель через
Explorer или в любом другом файловом менеджере, который умеет отображать иконки в
lnk-файлах (к примеру, Total Commander). После этого происходит заражение системы,
и руткит получает управление.
Ниже представлен скриншот того, как выглядит зараженный USB-носитель в
файловом менеджере FAR (он не подвергает систему заражению):
Из скриншота видно, что в корне USB-носителя находятся 2 файла с
расширением tmp (они являются исполнимыми), а также 4 файла с расширением lnk.
На следующем скриншоте представлено внутреннее содержимое одного из lnk-файлов:
Уязвимости подвержена операционная система Windows 7 Enterprise Edition x86
со всеми последними обновлениями, что говорит о том, что вредоносная программа
использует уязвимость, которая до сих пор существует и не закрыта в ОС Windows.
Инфицирование системы и сокрытие
Инфицирование системы происходит следующим образом:
1. В директорию %SystemRoot%\System32\drivers помещаются 2 файла:
mrxnet.sys и mrxcls.sys, один из которых работает как драйвер-фильтр файловой
системы, а второй как инжектор вредоносного кода. В антирутките gmer это видно
следующим образом:
Анализ файлов mrxnet.sys и mrxcls.sys показал, что файлы имеют секцию
ресурсов, в которой приводится следующая информация:
Также файлы подписаны цифровой подписью, сертификат на которую выдан
компании Realtek. 24 июня 2010 года компании Realtek было отправлено письмо (по
адресу pctech@realtek.com), в котором содержалось предупреждение о данной
проблеме. Однако до сих пор ответа от компании Realtek не последовало.
Файлы mrxnet.sys и mrxcls.sys были также добавлены в антивирусные базы
«ВирусБлокАда» соответственно как Rootkit.TmpHider
(http://www.virustotal.com/ru/analisis...a264cdc855
6c8e812f0b5f9c709198-1278584497) и SScope.Rookit.TmpHider.2
(http://www.virustotal.com/ru/analisis...f6fd3830ac
94739df95ee093c555c-1278661251).
2. В директорию %SystemRoot%\inf помещаются 2 файла oem6c.pnf и
oem7a.pnf, содержимое которых зашифровано.
3. Вредоносная программа получает управление сразу после инфицирования
системы, дополнительная перезагрузка системы не требуется.
Сразу после инфицирования системы начинает работать драйвер-фильтр,
который скрывает файлы ~wtr4132 и ~wtr4141.tmp и соответствующие lnk-файлы.
Антируткит Vba32 AntiRootkit обнаруживает скрытые модули следующим образом:
Поэтому пользователь может даже и не заметить, что на его USB-накопителе
присутствуют «лишние» файлы.
4. Также руткит запускает дополнительные потоки в системных процессах,
скрывая при этом модули, из которых данные потоки были запущены. Антируткит gmer
обнаруживает данные аномалии следующим образом:
5. Руткит устанавливает перехваты в системных процессах:
Таким образом, данную вредоносную программу можно отнести к категории
потенциально опасных, т.к. она представляет риск для заражения многих компьютеров.
Это связано с тем, что:
1. Для распространения используется уязвимость операционной системы, которая
до сих пор не закрыта. Вредоносная программа начинает скрывать следы своего
присутствия сразу после заражения системы;
2. Для сокрытия используются драйвера, имеющие цифровую подпись. Из-за этого
затруднено самостоятельное их выявления, т.к. вводятся в заблуждение антируткиты.
Также продолжительное время отсутствует детектирование данных драйверов
антивирусными компаниями, вероятно из-за отсеивания этих экземпляров на этапе
первичной обработки входящего потока бинарных файлов.
После того, как нашими специалистами были добавлены записи в антивирусную базу
на описанные выше вредоносные программы, в Технической Поддержке компании было
зарегистрировано множество обращений с симптомами, указывающими на заражение
данной вредоносной программой.

Просят скрин - дай скрин!!! Рисунок

- нужно включить отображение столбца PI
Защита компа от вирусов
мой сайт на joomla

Профиль

E-Mail

Наверх

Adjuster
Корифей

Всего сообщений: 2581
Репутация: 99
Дата регистрации: 03.02.2009

Создано: 14.07.2010 10:19:27

Отвечу на данную тему - в мае общался с компом брата и его флешкой ) - на компе явно что-то творилось.... - зверь сидел.
На флехе лежили как раз эти файлы - cureit ничего не нашел - пришлось вручную вычищать.

На всякий случай вогнал свою флеху в зараженный комп - и оставил ее для карантина - на ней появились указанные файлики.

Привез флеху домой - где у меня защищена папка windows - воткнул флеху - даже авторан включал....

после нескольких рестартов воткнул другую флеху - ничего на ней не появилось...

Антивиря на домашнем компе нет - иногда (раз в полгода) прохожусь куреитом для успокоения души ).

На компе брата WinXP Pro - на моем тоже.

Помнится вычищал всякие TMP везде - в автозагрузке, в реестре (был прикреплен ярлык к shell32.dll) - из временных папок - даже в системе валялся мусор.

Просят скрин - дай скрин!!! Рисунок

- нужно включить отображение столбца PI
Защита компа от вирусов
мой сайт на joomla

Профиль

E-Mail

Наверх

Soldier
Мудрец

Всего сообщений: 2909
Репутация: 105
Дата регистрации: 06.07.2008

Создано: 14.07.2010 23:09:58

Цитата

Adjuster пишет:
На всякий случай вогнал свою флеху в зараженный комп - и оставил ее для карантина - на ней появились указанные файлики.

Привез флеху домой - где у меня защищена папка windows - воткнул флеху - даже авторан включал....

после нескольких рестартов воткнул другую флеху - ничего на ней не появилось...

чет я вобще ниче не понял smile:dntknw:

Профиль

E-Mail

Наверх

Adjuster
Корифей

Всего сообщений: 2581
Репутация: 99
Дата регистрации: 03.02.2009

Создано: 15.07.2010 08:52:01

Цитата

Soldier пишет:

Цитата

чет я вобще ниче не понял smile:dntknw:

Зараженной флехой не смог заразить комп - не получилось smile;)

Чтобы заразить комп этому вирю требуются права пользователя на запись в папку windows - а их у пользователя, под которым я работаю - нет.
Настроил права через NTFS.

Просят скрин - дай скрин!!! Рисунок

- нужно включить отображение столбца PI
Защита компа от вирусов
мой сайт на joomla

Профиль

E-Mail

Наверх

barsukRed
Старожил
PortableUser

Всего сообщений: 503
Репутация: 113
Дата регистрации: 20.06.2008

Создано: 15.07.2010 22:21:56

Цитата
Adjuster пишет: Чтобы заразить комп этому вирю требуются права пользователя на запись в папку windows - а их у пользователя, под которым я работаю - нет.

Так можно и еще проще, отформатировать саму флешку в нтфс и папочку завести с нужными разрешениями(туда и копировать фалы) а в корневую диру запретить запись и тд. Обычно вирусы в корень норовят скопироваться а тут будет запрещено. А я вообще через gpedit.msc и политики ограниченного использования программ создал запретные правила для всех сменных носителей. Склейки с исполняемым файлом не работают. smile8)

А документы и картинки запускаются. Даже если по ошибке и случайно кликнуть (или автоклик эксплуатирующий уязвимость!!!) по бинарнику -ничего не сработает.

Профиль

E-Mail

Наверх

Faland
Старожил

Злобный, красноглазый психолог.

Всего сообщений: 786
Репутация: 63
Дата регистрации: 03.06.2008

Создано: 04.08.2010 11:54:50

Хехе))) Встретил ету фишку. Аваст прошёл тест)

Респект антимонополии на рынке харда и софта!!!

Профиль

E-Mail

Наверх