ichito Opublikowano 16 Lipca 2010 Zgłoś Udostępnij Opublikowano 16 Lipca 2010 Nie wiem, czy to dobre miejsce na tego typu informacje, niemniej postanowiłem podać je tutaj. Wg kilku anonsów w sieci m. in. jego odkrywców z Białorusi VirusBlockAda (VBA) pojawił się nowy typ malware nazwany Trojan-Spy.0485 i Malware-Cryptor.Win32.Inject.gen.2. Ten nowy malware potrafi zaatakować w pełni załatany Win7 i rozprzestrzenia się przez zewnętrzne dyski USB, wykorzystując jak to nazwano "błąd Windowsa w przetwarzaniu plików linków (skrótów) .lnk a nie jak większość tego typu malware’u, korzystając z możliwości pliku autorun.inf." Skutkiem tego jest infekowanie komputera jedynie poprzez podejrzenie zawartości dysku USB przez program automatycznie wyświetlający ikonki plików np. systemowy menadżer plików lub jakikolwiek inny - Total Commander, Free Commander, itp.(!!) Jak twierdzi VBA w swojej informacji "After we have added a new records to the anti-virus bases we are admitting a lot of detections of Rootkit.TmpHider and SScope.Rookit.TmpHider.2 all over the world." Źródła informacji http://anti-virus.by/en/tempo.shtml http://www.heise-online.pl/newsticker/news/item/Przez-nowa-luke-w-Windows-rozpowszechnia-sie-trojan-1038999.html http://niebezpiecznik.pl/post/nowy-sposob-ataku-na-windows-7/ Odnośnik do komentarza
Anonim2 Opublikowano 16 Lipca 2010 Zgłoś Udostępnij Opublikowano 16 Lipca 2010 No to już się wyjaśniła skuteczność ochrony przed infekcjami z poziomu autorunu w Win7. Odnośnik do komentarza
Eru Opublikowano 17 Lipca 2010 Zgłoś Udostępnij Opublikowano 17 Lipca 2010 No to już się wyjaśniła skuteczność ochrony przed infekcjami z poziomu autorunu w Win7. To nie dotyczy autorunu bo nie jest wykonywany plik autorun.inf czytasz i nie wiesz nawet o czym czytasz... Ten nowy malware potrafi zaatakować w pełni załatany Win7 i rozprzestrzenia się przez zewnętrzne dyski USB, wykorzystując jak to nazwano "błąd Windowsa w przetwarzaniu plików linków (skrótów) .lnk a nie jak większość tego typu malware’u, korzystając z możliwości pliku autorun.inf." Odnośnik do komentarza
Grzechooo Opublikowano 17 Lipca 2010 Zgłoś Udostępnij Opublikowano 17 Lipca 2010 Czyli infekcja omijająca autorun.inf? Genialnie PS. Ciekawe czy to działa na starszych systemach (XP/Vista). Odnośnik do komentarza
Eru Opublikowano 17 Lipca 2010 Zgłoś Udostępnij Opublikowano 17 Lipca 2010 Czyli infekcja omijająca autorun.inf? Genialnie PS. Ciekawe czy to działa na starszych systemach (XP/Vista). Pewnie tak News dotyczy Win 7 ponieważ on ma wyłączony autorun dla pendrive'ów ale jest widać metoda omijająca ten problem Dotyczy on też Visty i XP'ka na bank - problem autorunu też ich dotyczy Odnośnik do komentarza
izaw Opublikowano 17 Lipca 2010 Zgłoś Udostępnij Opublikowano 17 Lipca 2010 @Eru, ale to nie dotyczy autorun.inf. O ile Vista jest niemal identyczna z Seven, to jej to pewnie dotyczy. Co do XP nie wiadomo. Odnośnik do komentarza
Anonim2 Opublikowano 18 Lipca 2010 Zgłoś Udostępnij Opublikowano 18 Lipca 2010 To nie dotyczy autorunu bo nie jest wykonywany plik autorun.inf czytasz i nie wiesz nawet o czym czytasz... To Ty nie wiesz o czym czytasz. Wkładasz zarażony pendrive do USB i Trojan-Spy.0485 infekuje Ci system Windows 7. W przypadku starszych systemów nie ma tematu, ponieważ i tak zostałyby one zarażone każdym tego typu wirusem w przypadku niezastosowania odpowiednich zabezpieczeń. Odnośnik do komentarza
DawidS28 Opublikowano 18 Lipca 2010 Zgłoś Udostępnij Opublikowano 18 Lipca 2010 To Ty nie wiesz o czym czytasz. To nie ma NIC wspólnego z autorun.inf poza samą drogą wirusa, czyli pamięcią przenośną. Wkładasz zarażony pendrive do USB i Trojan-Spy.0485 infekuje Ci system Windows 7. Infekcja nastąpi tylko w przypadku, gdy podejrzysz zawartość pendrive'a programem przetwarzającym ikonki, czyli zwykłe DIR X:\ z konsolki nie spowoduje żadnych szkód dla użytkownika. omkar, RTFM! Odnośnik do komentarza
polak900 Opublikowano 18 Lipca 2010 Zgłoś Udostępnij Opublikowano 18 Lipca 2010 dobra a co się stanie jak włożymy ten pendrive i przeskanujemy go przed podejrzeniem jakimś antywirusem? Odnośnik do komentarza
DawidS28 Opublikowano 18 Lipca 2010 Zgłoś Udostępnij Opublikowano 18 Lipca 2010 Microsoft wydał oświadczenie w sprawie błedu. Jak się okazuje, dotyczy on wszystkich wersji Windowsów (a nie tylko Windows 7), a atak wykonać można także poprzez zdalne zasoby (NFS, WebDAV). polak900, wg wyników z VirusTotal infekcja jest wykrywana przez 3 programy antywirusowe... http://www.virustotal.com/pl/analisis/9c891edb5da763398969b6aaa86a5d46971bd28a455b20c2067cb512c9f9a0f8-1278584177 http://www.virustotal.com/pl/analisis/d58c95a68ae3debf9eedb3497b086c9d9289bc5692b72931f3a12c3041832628-1278584115 Czy się przez antywirusa zarazi trudno powiedzieć. Odnośnik do komentarza
polak900 Opublikowano 18 Lipca 2010 Zgłoś Udostępnij Opublikowano 18 Lipca 2010 polak900, wg wyników z VirusTotal infekcja jest wykrywana przez 3 programy antywirusowe... http://www.virustotal.com/pl/analisis/9c891edb5da763398969b6aaa86a5d46971bd28a455b20c2067cb512c9f9a0f8-1278584177 http://www.virustotal.com/pl/analisis/d58c95a68ae3debf9eedb3497b086c9d9289bc5692b72931f3a12c3041832628-1278584115 Czy się przez antywirusa zarazi trudno powiedzieć. mógłbyś przesłać mi te pliki lub dać mi namiary na ten malware potestuje sobie Odnośnik do komentarza
DawidS28 Opublikowano 18 Lipca 2010 Zgłoś Udostępnij Opublikowano 18 Lipca 2010 Te wyniki są na Niebezepiecznik.pl (link w pierwszej wiadomości). Nigdy tego nie miałem... EDIT Nowe wyniki naszych pliczków: https://www.virustotal.com/pl/analisis/9c891edb5da763398969b6aaa86a5d46971bd28a455b20c2067cb512c9f9a0f8-1279348534 https://www.virustotal.com/pl/analisis/d58c95a68ae3debf9eedb3497b086c9d9289bc5692b72931f3a12c3041832628-1279338225 Martwi mnie brak Comodo... Odnośnik do komentarza
polak900 Opublikowano 18 Lipca 2010 Zgłoś Udostępnij Opublikowano 18 Lipca 2010 dzięki za info Odnośnik do komentarza
Grzechooo Opublikowano 18 Lipca 2010 Zgłoś Udostępnij Opublikowano 18 Lipca 2010 Update na niebezpieczniku z wczoraj: Aktualizacja 17.07.2010 Microsoft wydał oświadczenie w sprawie błędu. Jak się okazuje, dotyczy on wszystkich wersji Windowsów (a nie tylko Windows 7), a atak wykonać można także poprzez zdalne zasoby (NFS, WebDAV). Czyli jednak XP też zagrożone Odnośnik do komentarza
Anonim2 Opublikowano 18 Lipca 2010 Zgłoś Udostępnij Opublikowano 18 Lipca 2010 Czy ten wirus jest blokowany przez Panda USB Vaccine, antywirusy blokujące autorun (Avira, NOD32, Pandę Cloud)? PS. SAS jest na VT Powinni dołożyć jeszcze MBAM. Odnośnik do komentarza
LikwidatoR Opublikowano 18 Lipca 2010 Zgłoś Udostępnij Opublikowano 18 Lipca 2010 Te wyniki są na Niebezepiecznik.pl (link w pierwszej wiadomości). Nigdy tego nie miałem... EDIT Nowe wyniki naszych pliczków: https://www.virustotal.com/pl/analisis/9c891edb5da763398969b6aaa86a5d46971bd28a455b20c2067cb512c9f9a0f8-1279348534 https://www.virustotal.com/pl/analisis/d58c95a68ae3debf9eedb3497b086c9d9289bc5692b72931f3a12c3041832628-1279338225 Martwi mnie brak Comodo... Jak widać branża antywirusowa dość szybko zareagowała , głównie chodzi o czołowe firmy. Zadziwiające jest to,że nowy atak pierwsza wykryła mało znana firma której dużo brakuje do innych bardziej znanych, cenionych firm pod względem wykrywalności, ogólnej jakości produktów. Odnośnik do komentarza
DawidS28 Opublikowano 18 Lipca 2010 Zgłoś Udostępnij Opublikowano 18 Lipca 2010 Zadziwiające jest to,że nowy atak pierwsza wykryła mało znana firma której dużo brakuje do innych bardziej znanych, cenionych firm pod względem wykrywalności, ogólnej jakości produktów. Co może nasuwać pewne powiązania między twórcą wirusa a VirusBlokAda. Nie chcę tutaj nic sugerować, ale to podejrzanie wygląda... Odnośnik do komentarza
LikwidatoR Opublikowano 18 Lipca 2010 Zgłoś Udostępnij Opublikowano 18 Lipca 2010 Bardzo ciekawa teza Dawidzie i możliwa bo dzięki temu firma VBA zyskałaby sporo, dzięki pewnemu rozgłosowi w internecie,że jako pierwsza firma wykryła nowy kompletnie atak co za tym idzie świat IT skierował uwagę na tą firmę, nazwa VirusBlokAda przewijałaby się i kojarzona byłaby i może od tej chwili jest z tym właśnie wydarzeniem co jest ważnym, ludzie by to czytali z różnych źródeł w internecie co może spowodować ,że userzy spróbują zaufać temu antywirusowi i kupią dany produkt a to daje korzyści materialne czyli kase bo czemu nie zainstalować VBA skoro jako pierwsza firma wykryła poważny atak, jej nazwa przebija się wszędzie , może jest bardzo dobra na pierwszą myśl. To jest tylko przypuszczenie , ale możliwe też ze względu,że to firma białoruska a wiadomo jakie tam panują układy w tym państwie Bardzo możliwe jest,że udało jej się po prostu uprzedzić inne firmy, każdy ma swoje 5 min Odnośnik do komentarza
Eru Opublikowano 18 Lipca 2010 Zgłoś Udostępnij Opublikowano 18 Lipca 2010 Czy ten wirus jest blokowany przez Panda USB Vaccine, antywirusy blokujące autorun (Avira, NOD32, Pandę Cloud)? Tutaj nie chodzi o autouruchamianie... https://www.fixitpc.pl/index.php?/topic/811-test-wydajnosci-programow-antyvirusowych-raymondcc/page__p__6450entry6450 Odnośnik do komentarza
picasso Opublikowano 27 Lipca 2010 Zgłoś Udostępnij Opublikowano 27 Lipca 2010 Trochę spóźniony news, ale Microsoft opublikował instrukcje zabezpieczające przed tym typem ataku i udostępnia automat Fix It prowadzący to z biegu: KB2286198. To tylko obejście polegające na wyłączeniu parsowania skrótów LNK i PIF. Skutki uboczne to braki ikonowe m.in. na Pasku zadań oraz w Menu Start, tego rodzaju: Odnośnik do komentarza
Grzechooo Opublikowano 28 Lipca 2010 Zgłoś Udostępnij Opublikowano 28 Lipca 2010 Hehe, no to uradzili, zamiast załatać lukę, to po prostu ją obchodzą. Odnośnik do komentarza
Bonifacy Opublikowano 30 Lipca 2010 Zgłoś Udostępnij Opublikowano 30 Lipca 2010 Narzędzie od firmy Sophos: http://www.sophos.com/products/free-tools/sophos-windows-shortcut-exploit-protection-tool.html#auroraVid EDIT: W dniu 2.08.2010 Microsoft wydał stosowne łatki krytyczne dla zagrożonych systemów - info: http://www.microsoft.com/technet/security/bulletin/ms10-aug.mspx BTW - tytuł tematu jest nieadekwatny, bo problem dotyczy(ł?) też innych systemów operacyjnych M$. Czytelnicy forum z systemem innym niż Win7 mogą być niezainteresowani tym tematem. Moja sugestia do autora/Admiralicji - zmienić tytuł! Odnośnik do komentarza
Rekomendowane odpowiedzi