Skocz do zawartości
ichito

Nowy typ ataku z mediów przenośnych USB

Rekomendowane odpowiedzi

Nie wiem, czy to dobre miejsce na tego typu informacje, niemniej postanowiłem podać je tutaj.

Wg kilku anonsów w sieci m. in. jego odkrywców z Białorusi VirusBlockAda (VBA) pojawił się nowy typ malware nazwany Trojan-Spy.0485 i Malware-Cryptor.Win32.Inject.gen.2. Ten nowy malware potrafi zaatakować w pełni załatany Win7 i rozprzestrzenia się przez zewnętrzne dyski USB, wykorzystując jak to nazwano "błąd Windowsa w przetwarzaniu plików linków (skrótów) .lnk a nie jak większość tego typu malware’u, korzystając z możliwości pliku autorun.inf."

Skutkiem tego jest infekowanie komputera jedynie poprzez podejrzenie zawartości dysku USB przez program automatycznie wyświetlający ikonki plików np. systemowy menadżer plików lub jakikolwiek inny - Total Commander, Free Commander, itp.(!!)

Jak twierdzi VBA w swojej informacji "After we have added a new records to the anti-virus bases we are admitting a lot of detections of Rootkit.TmpHider and SScope.Rookit.TmpHider.2 all over the world."

 

Źródła informacji

http://anti-virus.by/en/tempo.shtml

http://www.heise-online.pl/newsticker/news/item/Przez-nowa-luke-w-Windows-rozpowszechnia-sie-trojan-1038999.html

http://niebezpiecznik.pl/post/nowy-sposob-ataku-na-windows-7/

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

No to już się wyjaśniła skuteczność ochrony przed infekcjami z poziomu autorunu w Win7.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

No to już się wyjaśniła skuteczność ochrony przed infekcjami z poziomu autorunu w Win7.

 

To nie dotyczy autorunu bo nie jest wykonywany plik autorun.inf czytasz i nie wiesz nawet o czym czytasz...

 

Ten nowy malware potrafi zaatakować w pełni załatany Win7 i rozprzestrzenia się przez zewnętrzne dyski USB, wykorzystując jak to nazwano "błąd Windowsa w przetwarzaniu plików linków (skrótów) .lnk a nie jak większość tego typu malware’u, korzystając z możliwości pliku autorun.inf."

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Czyli infekcja omijająca autorun.inf? Genialnie :angry:

PS. Ciekawe czy to działa na starszych systemach (XP/Vista).

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Czyli infekcja omijająca autorun.inf? Genialnie :angry:

PS. Ciekawe czy to działa na starszych systemach (XP/Vista).

 

Pewnie tak :P

News dotyczy Win 7 ponieważ on ma wyłączony autorun dla pendrive'ów ale jest widać metoda omijająca ten problem :P

Dotyczy on też Visty i XP'ka na bank - problem autorunu też ich dotyczy ;)

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

@Eru, ale to nie dotyczy autorun.inf. O ile Vista jest niemal identyczna z Seven, to jej to pewnie dotyczy. Co do XP nie wiadomo.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

To nie dotyczy autorunu bo nie jest wykonywany plik autorun.inf czytasz i nie wiesz nawet o czym czytasz...

 

To Ty nie wiesz o czym czytasz. Wkładasz zarażony pendrive do USB i Trojan-Spy.0485 infekuje Ci system Windows 7. W przypadku starszych systemów nie ma tematu, ponieważ i tak zostałyby one zarażone każdym tego typu wirusem w przypadku niezastosowania odpowiednich zabezpieczeń.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
To Ty nie wiesz o czym czytasz.

To nie ma NIC wspólnego z autorun.inf poza samą drogą wirusa, czyli pamięcią przenośną.

 

Wkładasz zarażony pendrive do USB i Trojan-Spy.0485 infekuje Ci system Windows 7.

Infekcja nastąpi tylko w przypadku, gdy podejrzysz zawartość pendrive'a programem przetwarzającym ikonki, czyli zwykłe DIR X:\ z konsolki nie spowoduje żadnych szkód dla użytkownika.

 

omkar, RTFM!

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

dobra a co się stanie jak włożymy ten pendrive i przeskanujemy go przed podejrzeniem jakimś antywirusem?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Microsoft wydał oświadczenie w sprawie błedu. Jak się okazuje, dotyczy on wszystkich wersji Windowsów (a nie tylko Windows 7), a atak wykonać można także poprzez zdalne zasoby (NFS, WebDAV).

 

polak900, wg wyników z VirusTotal infekcja jest wykrywana przez 3 programy antywirusowe...

http://www.virustotal.com/pl/analisis/9c891edb5da763398969b6aaa86a5d46971bd28a455b20c2067cb512c9f9a0f8-1278584177

http://www.virustotal.com/pl/analisis/d58c95a68ae3debf9eedb3497b086c9d9289bc5692b72931f3a12c3041832628-1278584115

 

Czy się przez antywirusa zarazi trudno powiedzieć.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

polak900, wg wyników z VirusTotal infekcja jest wykrywana przez 3 programy antywirusowe...

http://www.virustotal.com/pl/analisis/9c891edb5da763398969b6aaa86a5d46971bd28a455b20c2067cb512c9f9a0f8-1278584177

http://www.virustotal.com/pl/analisis/d58c95a68ae3debf9eedb3497b086c9d9289bc5692b72931f3a12c3041832628-1278584115

 

Czy się przez antywirusa zarazi trudno powiedzieć.

 

mógłbyś przesłać mi te pliki lub dać mi namiary na ten malware

potestuje sobie

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Te wyniki są na Niebezepiecznik.pl (link w pierwszej wiadomości). Nigdy tego nie miałem...

 

EDIT

 

Nowe wyniki naszych pliczków:

 

https://www.virustotal.com/pl/analisis/9c891edb5da763398969b6aaa86a5d46971bd28a455b20c2067cb512c9f9a0f8-1279348534

https://www.virustotal.com/pl/analisis/d58c95a68ae3debf9eedb3497b086c9d9289bc5692b72931f3a12c3041832628-1279338225

 

Martwi mnie brak Comodo...

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Update na niebezpieczniku z wczoraj:

Aktualizacja 17.07.2010

Microsoft wydał oświadczenie w sprawie błędu. Jak się okazuje, dotyczy on wszystkich wersji Windowsów (a nie tylko Windows 7), a atak wykonać można także poprzez zdalne zasoby (NFS, WebDAV).

Czyli jednak XP też zagrożone :angry:

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Czy ten wirus jest blokowany przez Panda USB Vaccine, antywirusy blokujące autorun (Avira, NOD32, Pandę Cloud)?

 

PS.

 

SAS jest na VT :)

Powinni dołożyć jeszcze MBAM.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Te wyniki są na Niebezepiecznik.pl (link w pierwszej wiadomości). Nigdy tego nie miałem...

 

EDIT

 

Nowe wyniki naszych pliczków:

 

https://www.virustotal.com/pl/analisis/9c891edb5da763398969b6aaa86a5d46971bd28a455b20c2067cb512c9f9a0f8-1279348534

https://www.virustotal.com/pl/analisis/d58c95a68ae3debf9eedb3497b086c9d9289bc5692b72931f3a12c3041832628-1279338225

 

Martwi mnie brak Comodo...

 

 

Jak widać branża antywirusowa dość szybko zareagowała , głównie chodzi o czołowe firmy. Zadziwiające jest to,że nowy atak pierwsza wykryła mało znana firma której dużo brakuje do innych bardziej znanych, cenionych firm pod względem wykrywalności, ogólnej jakości produktów. :)

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Zadziwiające jest to,że nowy atak pierwsza wykryła mało znana firma której dużo brakuje do innych bardziej znanych, cenionych firm pod względem wykrywalności, ogólnej jakości produktów. :)

Co może nasuwać pewne powiązania między twórcą wirusa a VirusBlokAda.

Nie chcę tutaj nic sugerować, ale to podejrzanie wygląda...

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Bardzo ciekawa teza Dawidzie i możliwa bo dzięki temu firma VBA zyskałaby sporo, dzięki pewnemu rozgłosowi w internecie,że jako pierwsza firma wykryła nowy kompletnie atak co za tym idzie świat IT skierował uwagę na tą firmę, nazwa VirusBlokAda przewijałaby się i kojarzona byłaby i może od tej chwili jest z tym właśnie wydarzeniem co jest ważnym, ludzie by to czytali z różnych źródeł w internecie co może spowodować ,że userzy spróbują zaufać temu antywirusowi i kupią dany produkt a to daje korzyści materialne czyli kase bo czemu nie zainstalować VBA skoro jako pierwsza firma wykryła poważny atak, jej nazwa przebija się wszędzie , może jest bardzo dobra na pierwszą myśl. To jest tylko przypuszczenie , ale możliwe też ze względu,że to firma białoruska a wiadomo jakie tam panują układy w tym państwie :) Bardzo możliwe jest,że udało jej się po prostu uprzedzić inne firmy, każdy ma swoje 5 min :D

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Trochę spóźniony news, ale Microsoft opublikował instrukcje zabezpieczające przed tym typem ataku i udostępnia automat Fix It prowadzący to z biegu: KB2286198. To tylko obejście polegające na wyłączeniu parsowania skrótów LNK i PIF. Skutki uboczne to braki ikonowe m.in. na Pasku zadań oraz w Menu Start, tego rodzaju:

 

2290360.png

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Narzędzie od firmy Sophos:

http://www.sophos.com/products/free-tools/sophos-windows-shortcut-exploit-protection-tool.html#auroraVid

 

EDIT:

 

W dniu 2.08.2010 Microsoft wydał stosowne łatki krytyczne dla zagrożonych systemów - info:

http://www.microsoft.com/technet/security/bulletin/ms10-aug.mspx

 

BTW - tytuł tematu jest nieadekwatny, bo problem dotyczy(ł?) też innych systemów operacyjnych M$.

Czytelnicy forum z systemem innym niż Win7 mogą być niezainteresowani tym tematem. Moja sugestia

do autora/Admiralicji - zmienić tytuł! :)

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...