Jump to content


Photo

Czy DWPF jest odporne na takiego typu atak?


  • Please log in to reply
2 replies to this topic

#1 polak900

polak900

    Active Member

  • Active Members
  • 14 posts

Posted 16 July 2010 - 01:50 PM

Przez nową lukę w Windows rozpowszechnia się trojan

Według doniesień specjalist?w pojawił się nowy trojan, kt?ry rozprzestrzenia się przez pamięci ze złączem USB i wykorzystuje w tym celu lukę w Windows, o kt?rej najprawdopodobniej nikt jeszcze nie słyszał.
Zagrożenie
Według analiz białoruskiego producenta program?w antywirusowych VirusBlokAda trojanowi obecnie udaje się zainfekować w pełni załatany system Windows 7 (32-bitowy), bez konieczności sięgania po typowe w takiej sytuacji środki pomocnicze w momencie podłączenia pamięci, takie jak autorun.inf. Szkodnik wykorzystuje raczej błąd w przetwarzaniu odsyłaczy (pliki .lnk): podczas wyświetlania powiązanej z nimi ikony np. w Windows Explorerze, bez dodatkowej interakcji ze strony użytkownika uruchamia się szkodliwy kod.
Trojan wykorzystuje tę okazję do zainstalowania w systemie dw?ch sterownik?w z funkcjami rootkit, kt?re następnie ukrywają swoją aktywność. Co ciekawe, oba sterowniki są podpisane cyfrowo kluczem kodu producenta RealTek, dzięki czemu można je zainstalować w systemie bez wywoływania alarmu. Nie tak dawno temu producent oprogramowania F-Secure zauważał, że w obiegu pojawia się coraz więcej cyfrowo podpisanego malware'u dla Windows. Zdarza się nawet, że używane do tego celu cyfrowe klucze są wykradane programistom.
Według badań specjalisty od malware'u Franka Boldewina nie mamy tu do czynienia z trojanem og?lnego zastosowania, kt?ry zbiera hasła użytkownik?w. Wygląda na to, że szkodnik celowo szpieguje systemy pod kątem metod kierowania i wizualizacji proces?w. Prawdopodobnie więc nie rozpowszechni się na szeroką skalę.
Podczas analiz Boldewin natknął się na przeprowadzane przez trojana kwerendy w bazach danych, kt?re odnoszą się do systemu SCADA WinCC Siemensa. Przeciętny programista malware'u nie byłby w stanie dokonać czegoś takiego ? twierdzi Boldewin w e-mailu do heise Security. "Biorąc pod uwagę, że bardzo wiele rząd?w i firm przemysłowych na całym świecie stosuje system SCADA Siemensa, można przypuszczać, że napastnik ma coś wsp?lnego ze szpiegostwem przemysłowym i możliwe nawet, że zajmuje się szpiegostwem w sektorze publicznym" ? pisze dalej Boldewin.
Microsoft został już poinformowany o błedzie, ale wygląda na to, że ma problemy z jego zrekonstruowaniem. Według informacji Andreasa Marxa z AV-Test każdy plik .lnk jest bowiem powiązany z identyfikatorem już zainfekowanej pamięci USB. W związku z tym dotychczas znalezione pr?bki trojana nie pozwalają się uruchomić bez dodatkowych zabieg?w w systemie Windows ? malware startuje dopiero w debugerze OllyDbg i po kilku zmianach w kodzie.
Ochrona
Producenci antywirus?w przygotowują odpowiednie szczepionki i sygnatury. Użytkownicy Windows powinni uważać na pamięci USB pochodzące z niezaufanych źr?deł i nie podłączać ich do komputera.

source: HO

Edited by polak900, 16 July 2010 - 01:52 PM.


#2 Chachazz

Chachazz

    Is GSF inventory

  • General Admin
  • 36,404 posts

Posted 16 July 2010 - 06:43 PM

Dziękujemy; Link:
Przez nową lukę w Windows rozpowszechnia się trojan
Trojan spreads via new Windows hole

#3 Creer

Creer

    GSF mate

  • Active Members
  • 325 posts

Posted 18 August 2010 - 10:14 AM

Witaj polak,

odpowiadając kr?tko i na temat: DW jest odporne na tego typu ataki.
Dodatkowo od wersji 3.05 Ilya, znalazł spos?b poradzenia sobie z exploitami .lnk powłoki Shell.