Зафиксировано распространение через рекламную сеть AdFox вредоносного ПО, эксплуатирующего уязвимость в Java

20.03.2012 11:14

Лаборатория Касперского опубликовала разбор вредоносного ПО, отличающийся применением сразу нескольких интересных подходов. Во-первых, вредоносное ПО носило многоплатформенный характер и поражало системы на базе Windows и Mac OS X, эксплуатируя уязвимости в необновлённом плагине Java (теоретически, данное ПО может быть адаптировано и для атаки на Linux).

Во-вторых, вредоносное ПО не сохраняло никаких данных на диск и не порождало новых процессов, а работало исключительно в памяти штатного процесса javaw, что существенно усложнило выявление антивирусами, но позволило сохранить работоспособность только до первого перезапуска. Проблема с небольшим временем жизни зловредного ПО была решена через обеспечение высокой вероятности повторного поражения, для чего эксплуатирующий уязвимость код был интегрирован в рекламные блоки одного из клиентов сети AdFox, материалы которой размещаются на ряде крупнейших новостных сайтов, таких как РИА Новости и Газета.Ру. Подразумевалось, что пользователь регулярно посещает один и тот же новостной сайт, поэтому заражение будет происходить вновь и вновь.

После активации, вредоносное ПО осуществляло отправку на сервер злоумышленников истории посещений сайтов и запросы на получение управляющих команд. В случае, когда среди сайтов встречались службы online-банкинга, на машину жертвы дополнительно устанавливалось троянское ПО Lurk, пытающееся перехватить данные платёжных идентификаторов пользователя для последующей кражи средств с банковских счетов.

Упомянутый выше тип вредоносного ПО указывает на новую тенденцию, связанную с поражением только запущенного в данный момент браузера или связанных с ним плагинов, без модификации внешних компонентов (файлов на диске). В современном мире браузеры уже настолько плотно вошли в обиход, что не закрываются неделями и всё больше используются как платформа для основной работы. Внедрение вредоносного кода путем модификации непосредственно уже выполняемого процесса браузера/плагина может существенно усложнить выявление подобного рода атак.

исправить –19 +/–

Главная ссылка к новости (http://www.securelist.com/ru/b...)

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/33397-java

Ключевые слова: java, attack, security

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (26)

1.25, кевин (?), 12:58, 20/03/2012 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
ну я пока только один вариант вируса для линуксов придумал. это когда вирус использует уязвимость чтобы наложить патч закрывающий уязвимость.

2.28, Andrey Mitrofanov (?), 13:12, 20/03/2012 [^] [^^] [^^^] [ответить]	+1 +/–
> вирус использует уязвимость чтобы наложить патч закрывающий уязвимость. Осторожнее! Ksplice обложен паентами. Ж)

3.33, Аноним (-), 13:31, 20/03/2012 [^] [^^] [^^^] [ответить]	–1 +/–
А он разве вирус? :)

4.35, Andrey Mitrofanov (?), 13:42, 20/03/2012 [^] [^^] [^^^] [ответить]	+/–
Нет, но когда+если за мозговыми сущностями предыдущего оратора придут патентные лояры Оракеля... будет хуже~~~

5.71, кевин (?), 19:31, 20/03/2012 [^] [^^] [^^^] [ответить]	+/–
я с оракелем кофе пил фсё проплачено.

6.72, Andrey Mitrofanov (?), 19:36, 20/03/2012 [^] [^^] [^^^] [ответить]	+/–
Ну, тада всё Ок. Копию письменного договора, чеки-квитанции -- в отдел Р и _обои --> "по железной дороге..." за сговор с целью распространение вредоносого.

4.76, Дедфут (?), 20:18, 20/03/2012 [^] [^^] [^^^] [ответить]	+/–
Ramen :) Все уже было придумано и реализовано лет 15 назад.

1.31, posixru (ok), 13:20, 20/03/2012 [ответить] [﹢﹢﹢] [ · · · ]	+26 +/–
> Лаборатория Касперского опубликовала разбор вредоносного ПО Не знаю кому как... А у меня, регулярные выпосты спецов из этой лаборатории, всегда вызывают нехорошее чувство... Похожее ощущается после встречи привокзальной цыганки, вопящей тебе в спину обвинения и проклятья, за то что ты ей и её многочисленным детям не отстегнул бабулеток на утоление постоянного голода!

1.34, АнониМ (?), 13:38, 20/03/2012 [ответить] [﹢﹢﹢] [ · · · ]	+/–
На многих сайтах ( в том числе inosmi.ru ) выдел загрузку данного апплета - 100% вируса. Даже касперу отписал о данном вирусе, через неделю каспер его ещё не видел, а теперь через кучу времени они "обнаружили" уникальный вирус :D :D. Антивирусы хрень сабачая, если они так вирусы ловят.

2.46, ffirefox (?), 15:43, 20/03/2012 [^] [^^] [^^^] [ответить]	+/–
Это к любым плагинам/скриптам можно отнести. Выпиливать совсем, может быть, слишком кардинально, но завести для работы (особенно с банками) отдельного пользователя или хотя бы другой профиль для firefox имеет смысл.

3.60, анон (?), 17:57, 20/03/2012 [^] [^^] [^^^] [ответить]	+/–
> Выпиливать совсем, может быть, слишком кардинально хмм, у меня java отлкючена перманентно неработающих сайтов ещё не видел, кроме кучки раритетных демок

2.49, umbr (ok), 16:13, 20/03/2012 [^] [^^] [^^^] [ответить]	+/–
Плагины - зло, лучший антивирус - своя голова. Для работы с банками надо держать отдельный компьютер.

2.50, Xasd (ok), 16:36, 20/03/2012 [^] [^^] [^^^] [ответить]	+/–
> ИМХО выпилить давно пора Java ВЫПИЛИТЬ??? а где это он впилин?.. я давно его уже не видил в своих браузерах xD

2.55, анонн (?), 17:38, 20/03/2012 [^] [^^] [^^^] [ответить]	+/–
Давно пора java-плагин сделать опциональным для загрузки, а не интегрировать в установщик. Кому он нужен, те его установят.

1.44, Аноним (-), 15:34, 20/03/2012 [ответить] [﹢﹢﹢] [ · · · ]	+7 +/–
Проект OpenNet - портал по открытому ПО, Linux, BSD и Unix системам Эта Java-Каспероидная тема даже удалённо не удовлетворяет тематике портала! Зачем она тут? Разве что на радость троллям всех мастей. Люди сюда приходят почитать новости про Linux, BSD и Unix системы (я например за этим сюда заглядываю), а тут взяли за привычку через тему постить про Windows и Mac OS X. Про них можно в тысячях мест всё узнать, кому они требуются, зачем их и сюда совать то? Кроссплатформенную толерантность демонстрируете что ли? Перед кем и для чего? Неужели вам больше писать больше не про что кроме очередного феерически-параноидального бреда из корпорации Касперского?

2.51, Аноним (-), 16:38, 20/03/2012 [^] [^^] [^^^] [ответить]	–2 +/–
> Эта Java-Каспероидная тема даже удалённо не удовлетворяет тематике портала! Зачем она тут? См. текст новости: «теоретически, данное ПО может быть адаптировано и для атаки на Linux».

3.87, arisu (ok), 13:20, 23/03/2012 [^] [^^] [^^^] [ответить]	+/–
> См. текст новости: «теоретически, данное ПО может быть адаптировано и для атаки > на Linux». о! беру на вооружение идею. пишу любую ерунду, в конец добавляю: «теоретически линукс гну столман!» ОПА! новость волшебным образом становится тематической.

2.58, Maxim Chirkov (ok), 17:46, 20/03/2012 [^] [^^] [^^^] [ответить]	–3 +/–
Java и компьютерная безопасность изначально подпадали и подпадают под тематику o... большой текст свёрнут, показать

3.66, тоже Аноним (ok), 18:41, 20/03/2012 [^] [^^] [^^^] [ответить]	+4 +/–
> адаптировать эксплоит, чтобы он поражал Linux-сборку Java-плагина задача вполне выполнимая ... но решительно никому не нужная. Читаем описание работы вируса. Каким образом, интересно, он выполнит вторую часть своей работы (для которой, собственно, и создан)?

4.69, Maxim Chirkov (ok), 19:00, 20/03/2012 [^] [^^] [^^^] [ответить]	–2 +/–
>> адаптировать эксплоит, чтобы он поражал Linux-сборку Java-плагина задача вполне выполнимая > ... но решительно никому не нужная. Читаем описание работы вируса. Каким образом, > интересно, он выполнит вторую часть своей работы (для которой, собственно, и > создан)? Установка трояна - это издержки производства, контролируя выполнение браузера, злоумышленники могут контролировать и все вводимые в нём данные, включая параметры аутентификации к online-банкам и номера кредиток. Никакой SSL в этом случае не поможет и никакие кейлоггеры не нужны.

5.74, анон (?), 19:56, 20/03/2012 [^] [^^] [^^^] [ответить]	+1 +/–
> параметры аутентификации к online-банкам Для того и делают одноразовые пароли, подтверждение через sms и прочие подпорки. т.е. в принципе смирились с тем, какое дырище этот веб

5.83, тоже Аноним (ok), 22:58, 20/03/2012 [^] [^^] [^^^] [ответить]	+/–
А что, из этого плагина уже можно контролировать выполнение браузера? То-то этот зловред жил только до перезапуска...

4.79, filosofem (ok), 21:31, 20/03/2012 [^] [^^] [^^^] [ответить]	+2 +/–
>Каким образом, интересно, он выполнит вторую часть своей работы (для которой, собственно, и создан)? Накатает багрепорт в winehq. =)

1.56, q11q11 (?), 17:41, 20/03/2012 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> теоретически, данное ПО может быть адаптировано и для атаки на Linux а практически это ПО будет ничего не делать на машинах без JRE (ну или что там нужно для этой байды)

2.59, Andrey Mitrofanov (?), 17:48, 20/03/2012 [^] [^^] [^^^] [ответить]	+/–
>на машинах без JRE Да, пусть они там у себя в этих вебтриноль лабораториях портируют такую няку на JS/

2.70, Аноним (-), 19:05, 20/03/2012 [^] [^^] [^^^] [ответить]	+/–
Зачем отказываться от jre который нужен например для libreoffice если можно не ставить/удалить/отключить плагин

игнорирование участников | лог модерирования

Добавить комментарий

Текст: