Skocz do zawartości

Nowy typ ataku z mediów przenośnych USB


Rekomendowane odpowiedzi

Nie wiem, czy to dobre miejsce na tego typu informacje, niemniej postanowiłem podać je tutaj.

Wg kilku anonsów w sieci m. in. jego odkrywców z Białorusi VirusBlockAda (VBA) pojawił się nowy typ malware nazwany Trojan-Spy.0485 i Malware-Cryptor.Win32.Inject.gen.2. Ten nowy malware potrafi zaatakować w pełni załatany Win7 i rozprzestrzenia się przez zewnętrzne dyski USB, wykorzystując jak to nazwano "błąd Windowsa w przetwarzaniu plików linków (skrótów) .lnk a nie jak większość tego typu malware’u, korzystając z możliwości pliku autorun.inf."

Skutkiem tego jest infekowanie komputera jedynie poprzez podejrzenie zawartości dysku USB przez program automatycznie wyświetlający ikonki plików np. systemowy menadżer plików lub jakikolwiek inny - Total Commander, Free Commander, itp.(!!)

Jak twierdzi VBA w swojej informacji "After we have added a new records to the anti-virus bases we are admitting a lot of detections of Rootkit.TmpHider and SScope.Rookit.TmpHider.2 all over the world."

 

Źródła informacji

http://anti-virus.by/en/tempo.shtml

http://www.heise-online.pl/newsticker/news/item/Przez-nowa-luke-w-Windows-rozpowszechnia-sie-trojan-1038999.html

http://niebezpiecznik.pl/post/nowy-sposob-ataku-na-windows-7/

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

No to już się wyjaśniła skuteczność ochrony przed infekcjami z poziomu autorunu w Win7.

 

To nie dotyczy autorunu bo nie jest wykonywany plik autorun.inf czytasz i nie wiesz nawet o czym czytasz...

 

Ten nowy malware potrafi zaatakować w pełni załatany Win7 i rozprzestrzenia się przez zewnętrzne dyski USB, wykorzystując jak to nazwano "błąd Windowsa w przetwarzaniu plików linków (skrótów) .lnk a nie jak większość tego typu malware’u, korzystając z możliwości pliku autorun.inf."
Odnośnik do komentarza

Czyli infekcja omijająca autorun.inf? Genialnie :angry:

PS. Ciekawe czy to działa na starszych systemach (XP/Vista).

 

Pewnie tak :P

News dotyczy Win 7 ponieważ on ma wyłączony autorun dla pendrive'ów ale jest widać metoda omijająca ten problem :P

Dotyczy on też Visty i XP'ka na bank - problem autorunu też ich dotyczy ;)

Odnośnik do komentarza

To nie dotyczy autorunu bo nie jest wykonywany plik autorun.inf czytasz i nie wiesz nawet o czym czytasz...

 

To Ty nie wiesz o czym czytasz. Wkładasz zarażony pendrive do USB i Trojan-Spy.0485 infekuje Ci system Windows 7. W przypadku starszych systemów nie ma tematu, ponieważ i tak zostałyby one zarażone każdym tego typu wirusem w przypadku niezastosowania odpowiednich zabezpieczeń.

Odnośnik do komentarza
To Ty nie wiesz o czym czytasz.

To nie ma NIC wspólnego z autorun.inf poza samą drogą wirusa, czyli pamięcią przenośną.

 

Wkładasz zarażony pendrive do USB i Trojan-Spy.0485 infekuje Ci system Windows 7.

Infekcja nastąpi tylko w przypadku, gdy podejrzysz zawartość pendrive'a programem przetwarzającym ikonki, czyli zwykłe DIR X:\ z konsolki nie spowoduje żadnych szkód dla użytkownika.

 

omkar, RTFM!

Odnośnik do komentarza
Microsoft wydał oświadczenie w sprawie błedu. Jak się okazuje, dotyczy on wszystkich wersji Windowsów (a nie tylko Windows 7), a atak wykonać można także poprzez zdalne zasoby (NFS, WebDAV).

 

polak900, wg wyników z VirusTotal infekcja jest wykrywana przez 3 programy antywirusowe...

http://www.virustotal.com/pl/analisis/9c891edb5da763398969b6aaa86a5d46971bd28a455b20c2067cb512c9f9a0f8-1278584177

http://www.virustotal.com/pl/analisis/d58c95a68ae3debf9eedb3497b086c9d9289bc5692b72931f3a12c3041832628-1278584115

 

Czy się przez antywirusa zarazi trudno powiedzieć.

Odnośnik do komentarza

polak900, wg wyników z VirusTotal infekcja jest wykrywana przez 3 programy antywirusowe...

http://www.virustotal.com/pl/analisis/9c891edb5da763398969b6aaa86a5d46971bd28a455b20c2067cb512c9f9a0f8-1278584177

http://www.virustotal.com/pl/analisis/d58c95a68ae3debf9eedb3497b086c9d9289bc5692b72931f3a12c3041832628-1278584115

 

Czy się przez antywirusa zarazi trudno powiedzieć.

 

mógłbyś przesłać mi te pliki lub dać mi namiary na ten malware

potestuje sobie

Odnośnik do komentarza

Te wyniki są na Niebezepiecznik.pl (link w pierwszej wiadomości). Nigdy tego nie miałem...

 

EDIT

 

Nowe wyniki naszych pliczków:

 

https://www.virustotal.com/pl/analisis/9c891edb5da763398969b6aaa86a5d46971bd28a455b20c2067cb512c9f9a0f8-1279348534

https://www.virustotal.com/pl/analisis/d58c95a68ae3debf9eedb3497b086c9d9289bc5692b72931f3a12c3041832628-1279338225

 

Martwi mnie brak Comodo...

Odnośnik do komentarza

Te wyniki są na Niebezepiecznik.pl (link w pierwszej wiadomości). Nigdy tego nie miałem...

 

EDIT

 

Nowe wyniki naszych pliczków:

 

https://www.virustotal.com/pl/analisis/9c891edb5da763398969b6aaa86a5d46971bd28a455b20c2067cb512c9f9a0f8-1279348534

https://www.virustotal.com/pl/analisis/d58c95a68ae3debf9eedb3497b086c9d9289bc5692b72931f3a12c3041832628-1279338225

 

Martwi mnie brak Comodo...

 

 

Jak widać branża antywirusowa dość szybko zareagowała , głównie chodzi o czołowe firmy. Zadziwiające jest to,że nowy atak pierwsza wykryła mało znana firma której dużo brakuje do innych bardziej znanych, cenionych firm pod względem wykrywalności, ogólnej jakości produktów. :)

Odnośnik do komentarza

Bardzo ciekawa teza Dawidzie i możliwa bo dzięki temu firma VBA zyskałaby sporo, dzięki pewnemu rozgłosowi w internecie,że jako pierwsza firma wykryła nowy kompletnie atak co za tym idzie świat IT skierował uwagę na tą firmę, nazwa VirusBlokAda przewijałaby się i kojarzona byłaby i może od tej chwili jest z tym właśnie wydarzeniem co jest ważnym, ludzie by to czytali z różnych źródeł w internecie co może spowodować ,że userzy spróbują zaufać temu antywirusowi i kupią dany produkt a to daje korzyści materialne czyli kase bo czemu nie zainstalować VBA skoro jako pierwsza firma wykryła poważny atak, jej nazwa przebija się wszędzie , może jest bardzo dobra na pierwszą myśl. To jest tylko przypuszczenie , ale możliwe też ze względu,że to firma białoruska a wiadomo jakie tam panują układy w tym państwie :) Bardzo możliwe jest,że udało jej się po prostu uprzedzić inne firmy, każdy ma swoje 5 min :D

Odnośnik do komentarza
  • 2 tygodnie później...

Narzędzie od firmy Sophos:

http://www.sophos.com/products/free-tools/sophos-windows-shortcut-exploit-protection-tool.html#auroraVid

 

EDIT:

 

W dniu 2.08.2010 Microsoft wydał stosowne łatki krytyczne dla zagrożonych systemów - info:

http://www.microsoft.com/technet/security/bulletin/ms10-aug.mspx

 

BTW - tytuł tematu jest nieadekwatny, bo problem dotyczy(ł?) też innych systemów operacyjnych M$.

Czytelnicy forum z systemem innym niż Win7 mogą być niezainteresowani tym tematem. Moja sugestia

do autora/Admiralicji - zmienić tytuł! :)

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...