RSS-каналы
Уровень опасности: 1
Главная→Блог→Инциденты→23 июл 2010→Мирт и гуава: Эпизод 5
Мирт и гуава: Эпизод 5
Эксперт «Лаборатории Касперского»
опубликовано 23 июл 2010, 18:16 MSK
Сюжеты: Промышленный шпионаж, Технологии вредоносных программ, Siemens, Stuxnet
(скриншот примера работы WinCC, взятый из официальной документации компании Siemens)
s7db_open
s7blk_write
s7blk_findfirst
s7blk_findnext
s7blk_read
s7_event
s7ag_test
s7ag_read_szl
s7blk_delete
s7ag_link_in
s7db_close
s7ag_bub_cycl_read_create
s7ag_bub_read_var
s7ag_bub_write_var
s7ag_bub_read_var_seg
s7ag_bub_write_var_seg Кроме того, в модуле содержится несколько зашифрованных блоков данных (пример одного из расшифрованных блоков):
Siemens дополнил свой бюллетень информацией о том, что зафиксирован второй случай заражения.
23 июл 2010, 19:14
Вроде как Symantec достучался до тех серверов и собрал какую-то статистику: http://www.symantec.com/connect/blogs/w32stuxnet-network-information |
|
1 |
Re:
Да, у нас есть эта детальная статистика "с серверов".
Страны и цифры очень хорошо коррелируют с нашими.
|
3 |
Re:
Как вы думаете, почему сервера недоступны ? :)
Сименс, бедняги, бьются бьются, а у них червь не коннектится.
Координация действий конечно ужасает :(
|
1 |
Re: Re:
Я только не очень уловил, как Симантек их под себя загрёб. Они как-то мутно этот момент описали.
|
1 |
Re: Re: Re:
я знаю, но не расскажу :)
и это был _не_совсем_ Симантек.
точнее, не только Симантек.
|
23 июл 2010, 21:32
Дело пошло... А между тем уязвимость начинает быть распространённой: http://threatpost.com/en_us/blogs/new-malware-emerges-exploit-windows-lnk-flaw-072310 |
|
1 |
Re: Дело пошло...
А между тем Sophos уже выпустил свою утилитку для защиты от этого эксплойта: http://www.sophos.com/blogs/gc/g/2010/07/26/shortcut-exploit-free-tool/ (сейчас себе поставлю - вот только проверить не на чем).
"ЛК", не отставайте! ;)
|
1 |
|
0 |
Re: Re: Дело пошло...
http://www.translate.ru/links/8022a7ed - примерный перевод страницы с утилитой для тех кто с английским не дружит :)
|
0 |
|
23 июл 2010, 22:35
> Siemens дополнил свой бюллетень информацией о том, что зафиксирован второй случай заражения |
|
23 июл 2010, 23:55
Имхо, это просто пробный шар. По списку эмулированных операций видно, что планировалось что-то типа бэкдора. А это, действительно, означает удаленый доступ к управлению электростанциями, цехами и пр. Особенно, если учесть распространенность продуктов SIEMENS в Европе, Азии и ex-USSR: на турецком языке даже термин "промышленный контроллер" произносится - "SIMATIC". |
|
0 |
Re: Re:
Скорей попробовать, наскоко это реально. Самое интересное начнется, когда внутри обертки начнут появляться свои куски кода со своим функционалом. Кстати, не в зашифрованных ли блоках данных эти куски ждут своего часа?
З.Ы. Кстати, глядючи на зашифрованные данные. Если бы они были захардкодены каким-нибудь реальным шифром, типа там RC4 или AES, в данных не было бы на глаз заметно никакой регулярности, был бы белый шум. А тут нули сплошные, сериями. Что-то непонятно и подозрительно.
|
24 июл 2010, 13:29
В США и Иране зафиксированы случаи промышленного шпионажа с использованием Windows |
|
0 |
|
0 |
Re:
Я уж было подумал, это Wall Street Journal разоряется - там любят такие страшилки. Даже странно, что они так долго телятся с этой. ;)
|
27 июл 2010, 00:15
Теория заговора Уже третий... к тому же в центре событий, в Иране |
|
29 июл 2010, 16:44
|
|
29 июл 2010, 16:49
Re:Как я понял вы даже в рекламных целях утилиту под под СтукНет не выпустили Неплохая идея кстати про утилиту... |
|
1 |
Re: Re:Как я понял вы даже в рекламных целях утилиту под под СтукНет не выпустили
Глупости.
В понедельник будет нормальный патч от Микрософта.
|
31 июл 2010, 14:59
Так он уже как 10 дней доступен :) http://support.microsoft.com/kb/2286198 |
|
1 |
Re: Так он уже как 10 дней доступен :)
Да прямо 10 дней, только сегодня выпустили. Только патч - вот он: http://www.microsoft.com/technet/security/bulletin/ms10-046.mspx, а по вашей ссылке всего лишь воркэраунд. Ему - да, уже недели две.
|
0 |
Так "патч" же без обезвредивателя :)
Important note on the Microsoft Patch
The Microsoft Patch only prevents that the trojan from being installed automatically on the system.
If a user with admin-rights opens an infected LNK-file by mouse click on a computer on which the Microsoft Patch is installed, the computer will become infected - if no virus scanner has been installed.
To avoid such an infection, it is strongly recommended that users only log in with power user rights.
Power users do not have the necessary permissions to start code from another drive.
For additional security use an approved virus scanner.
|
0 |
Re: Так "патч" же без обезвредивателя :)
Ну, это уже как бы не является функцией виндов - обезвреживать.
|
0 |
Re: Re: Так "патч" же дырявый :)
Это была перефразировка из Трембиты "Так мина же без взрывателя" =
"Патч же дырявый".
Написано на иноязычном: 1. Заплатка предотвращает автоматическую установку вируса при открытии обозревателя с заражённым носителем.
2. Заплатка не спасёт, если пользователь с правами админа (а разве есть дома другие) ткнёт в заражённый ярлык той же флешки - вирус установится. То есть виноват будет пользователь привычно ткнувщий в ярлык.
Наличие антивируса не гарантирует защиту от новых вариантов ярлычных вирусов.
|
0 |
Re: Re: Re: Так "патч" же дырявый :)
Я прочитал на иноязычном, спасибо. ;)
Проблема (уязвимость) была в том, что вирус проникал без прямого участия пользователя. Эту проблему устранили. То, что вирус может проникнуть, если юзер сам запустит вредоносный файл (или ярлык, который на этот файл ссылается) - ну, в этом как бы нет ничего особенного. Тем более если у него права админа.
Так что патч, я считаю, адекватный вполне. Уязвимость устранена, а защищать пользователя от его собственных действий - это уже функции антивируса.
|
0 |
Так "патч" же дырявый :)
ИК: если юзер сам запустит вредоносный файл (или ярлык, который на этот файл ссылается)
Так дело в том, что ярлыки LNK и PIF не являются по аксиоме исполнительными файлами и не могут исполняться.
Это тоже самое, что кликнуть по фотографии.JPG и неожиданно узнать, что фотка оказывается является программой с инкапсулированным программным кодом.
Так что по сути уязвимость осталась - ярлыки имеют возможность выполнять встроенный программный код, хотя эту функциональность и требовалось закрыть.
Против неизвестных вариантов ярлычного вируса (так же как и против обычных autorun.inf) антивирусы бессильны - увы, но разработчики Касперского оказывается сами используют скрытый autorun.inf в своих утилитах и поэтому принципиально не борются с этим видом угроз.
|
05 авг 2010, 16:14
http://forum.kasperskyclub.ru/index.php?showtopic=21240 - в фан-клубе ЛК решил юзерам дать ссылки на скачивания патчей.У кого-то могут обновления не скачиваться((( |
Ссылки по теме
Также в аналитике
В блоге
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей