The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Зафиксировано распространение через рекламную сеть AdFox вре..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Зафиксировано распространение через рекламную сеть AdFox вре..."  –1 +/
Сообщение от opennews (??) on 20-Мрт-12, 11:18 
Лаборатория Касперского опубликовала (http://www.securelist.com/ru/blog/207763854/Unikalnyy_bestel...) разбор вредоносного ПО, интересного применением сразу нескольких интересных подходов. Во-первых, вредоносное ПО носило многоплатформенный характер и поражало системы на базе Windows и Mac OS X, эксплуатируя уязвимости в необновлённом плагине Java (теоретически, данное ПО может быть адаптировано и для атаки на Linux).


Во-вторых, вредоносное ПО не сохраняло никаких данных на диск и работало исключительно в памяти процесса javaw, что существенно усложнило выявление антивирусами, но позволило сохранить работоспособность только до первого перезапуска. Проблема с небольшим временем жизни зловредного ПО была решена необычно - через обеспечение высокой вероятности повторного поражения, для чего эксплуатирующий уязвимость код был интегрирован в рекламные блоки одного из клиентов сети AdFox, материалы которой размещаются на ряде крупнейших новостных сайтов, таких как РИА Новости и Газета.Ру.


После активации, вредоносное ПО осуществляло отправку на сервер злоумышленников истории посещений сайтов и запросы на получение управляющих команд. В случае, когда среди сайтов встречались службы online-банкинга, на машину жертвы дополнительно устанавливалось троянское ПО Lurk, пытающееся перехватить данные платёжных идентификаторов пользователя для последующей кражи средств с банковских счетов.

URL: http://www.securelist.com/ru/blog/207763854/Unikalnyy_bestel...
Новость: http://www.opennet.me/opennews/art.shtml?num=33397

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


25. "Зафиксировано распространение через рекламную сеть AdFox вре..."  +1 +/
Сообщение от кевин on 20-Мрт-12, 12:58 
ну я пока только один вариант вируса для линуксов придумал. это когда вирус использует уязвимость чтобы наложить патч закрывающий уязвимость.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

28. "Зафиксировано распространение через рекламную сеть AdFox вре..."  +1 +/
Сообщение от Andrey Mitrofanov on 20-Мрт-12, 13:12 
> вирус использует уязвимость чтобы наложить патч закрывающий уязвимость.

Осторожнее! Ksplice обложен паентами. Ж)

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

33. "Зафиксировано распространение через рекламную сеть AdFox вре..."  –1 +/
Сообщение от Аноним (??) on 20-Мрт-12, 13:31 
А он разве вирус? :)
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

35. "Зафиксировано распространение через рекламную сеть AdFox вре..."  +/
Сообщение от Andrey Mitrofanov on 20-Мрт-12, 13:42 
Нет, но когда+если за мозговыми сущностями предыдущего оратора придут патентные лояры Оракеля... будет хуже~~~
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

71. "Зафиксировано распространение через рекламную сеть AdFox вре..."  +/
Сообщение от кевин on 20-Мрт-12, 19:31 
я с оракелем кофе пил фсё проплачено.
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

72. "Зафиксировано распространение через рекламную сеть AdFox вре..."  +/
Сообщение от Andrey Mitrofanov on 20-Мрт-12, 19:36 
Ну, тада всё Ок. Копию письменного договора, чеки-квитанции -- в отдел Р и _обои --> "по железной дороге..." за сговор с целью распространение вредоносого.
Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

76. "Зафиксировано распространение через рекламную сеть AdFox вре..."  +/
Сообщение от Дедфут on 20-Мрт-12, 20:18 
Ramen :)
Все уже было придумано и реализовано лет 15 назад.
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

31. "Зафиксировано распространение через рекламную сеть AdFox вре..."  +26 +/
Сообщение от posixru (ok) on 20-Мрт-12, 13:20 
> Лаборатория Касперского опубликовала разбор вредоносного ПО

Не знаю кому как... А у меня, регулярные выпосты спецов из этой лаборатории, всегда вызывают нехорошее чувство... Похожее ощущается после встречи привокзальной цыганки, вопящей тебе в спину обвинения и проклятья, за то что ты ей и её многочисленным детям не отстегнул бабулеток на утоление постоянного голода!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

34. "Зафиксировано распространение через рекламную сеть AdFox вре..."  +/
Сообщение от АнониМ on 20-Мрт-12, 13:38 
На многих сайтах ( в том числе inosmi.ru ) выдел загрузку данного апплета - 100% вируса.
Даже касперу отписал о данном вирусе, через неделю каспер его ещё не видел, а теперь через кучу времени они "обнаружили" уникальный вирус :D :D.
Антивирусы хрень сабачая, если они так вирусы ловят.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

46. "Зафиксировано распространение через рекламную сеть AdFox вре..."  +/
Сообщение от ffirefox on 20-Мрт-12, 15:43 
Это к любым плагинам/скриптам можно отнести.
Выпиливать совсем, может быть, слишком кардинально, но завести для работы (особенно с банками) отдельного пользователя или хотя бы другой профиль для firefox имеет смысл.
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

60. "Зафиксировано распространение через рекламную сеть AdFox вре..."  +/
Сообщение от анон on 20-Мрт-12, 17:57 
> Выпиливать совсем, может быть, слишком кардинально

хмм, у меня java отлкючена перманентно
неработающих сайтов ещё не видел, кроме кучки раритетных демок

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

49. "Зафиксировано распространение через рекламную сеть AdFox вре..."  +/
Сообщение от umbr (ok) on 20-Мрт-12, 16:13 
Плагины - зло, лучший антивирус - своя голова.
Для работы с банками надо держать отдельный компьютер.
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

50. "Зафиксировано распространение через рекламную сеть AdFox вре..."  +/
Сообщение от Xasd (ok) on 20-Мрт-12, 16:36 
> ИМХО выпилить давно пора Java

ВЫПИЛИТЬ??? а где это он впилин?.. я давно его уже не видил в своих браузерах xD

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

55. "Зафиксировано распространение через рекламную сеть AdFox вре..."  +/
Сообщение от анонн on 20-Мрт-12, 17:38 
Давно пора java-плагин сделать опциональным для загрузки, а не интегрировать в установщик. Кому он нужен, те его установят.
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

44. "Зафиксировано распространение через рекламную сеть AdFox вре..."  +7 +/
Сообщение от Аноним (??) on 20-Мрт-12, 15:34 
Проект OpenNet - портал по открытому ПО, Linux, BSD и Unix системам

Эта Java-Каспероидная тема даже удалённо не удовлетворяет тематике портала! Зачем она тут? Разве что на радость троллям всех мастей.
Люди сюда приходят почитать новости про Linux, BSD и Unix системы (я например за этим сюда заглядываю), а тут взяли за привычку через тему постить про Windows и Mac OS X. Про них можно в тысячях мест всё узнать, кому они требуются, зачем их и сюда совать то? Кроссплатформенную толерантность демонстрируете что ли? Перед кем и для чего? Неужели вам больше писать больше не про что кроме очередного феерически-параноидального бреда из корпорации Касперского?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

51. "Зафиксировано распространение через рекламную сеть AdFox вре..."  –2 +/
Сообщение от Аноним (??) on 20-Мрт-12, 16:38 
> Эта Java-Каспероидная тема даже удалённо не удовлетворяет тематике портала! Зачем она тут?

См. текст новости: «теоретически, данное ПО может быть адаптировано и для атаки на Linux».

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

87. "Зафиксировано распространение через рекламную сеть AdFox..."  +/
Сообщение от arisu (ok) on 23-Мрт-12, 13:20 
> См. текст новости: «теоретически, данное ПО может быть адаптировано и для атаки
> на Linux».

о! беру на вооружение идею. пишу любую ерунду, в конец добавляю: «теоретически линукс гну столман!» ОПА! новость волшебным образом становится тематической.

Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

58. "Зафиксировано распространение через рекламную сеть AdFox вре..."  –3 +/
Сообщение от Maxim Chirkov email(ok) on 20-Мрт-12, 17:46 
> Проект OpenNet - портал по открытому ПО, Linux, BSD и Unix системам
> Эта Java-Каспероидная тема даже удалённо не удовлетворяет тематике портала! Зачем она тут?

Java и компьютерная безопасность изначально подпадали и подпадают под тематику opennet.ru. В данном случае, кроме того, что данный вид вредоносного ПО представляет потенциальную опасность и для Linux (адаптировать эксплоит, чтобы он поражал Linux-сборку Java-плагина задача вполне выполнимая), важна сама тенденция. Операционные системы и Java в данном случае лишь атрибуты первой рабочей реализации.

Ключевой мотив новости в том, что браузеры уже настолько плотно вошли в обиход, не закрываются неделями и всё больше используются как платформа для основной работы, что вредоносное ПО может ограничиться только их поражением, не вылезая наружу в ОС. Ситуация, когда после эксплуатации уязвимости осуществляется модификация текущего процесса браузера/плагина и вредоносный код остаётся скрыт, представляет очень серьёзную угрозу. С учетом все большего использования JIT для JavaScript трудно представить как вообще можно выявить такую модификацию уже работающего процесса, если вредоносный код явно не проявляет себя, например, отправляя запросы по сети.

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

66. "Зафиксировано распространение через рекламную сеть AdFox вре..."  +4 +/
Сообщение от тоже Аноним email(ok) on 20-Мрт-12, 18:41 
> адаптировать эксплоит, чтобы он поражал Linux-сборку Java-плагина задача вполне выполнимая

... но решительно никому не нужная. Читаем описание работы вируса. Каким образом, интересно, он выполнит вторую часть своей работы (для которой, собственно, и создан)?

Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

69. "Зафиксировано распространение через рекламную сеть AdFox вре..."  –2 +/
Сообщение от Maxim Chirkov email(ok) on 20-Мрт-12, 19:00 
>> адаптировать эксплоит, чтобы он поражал Linux-сборку Java-плагина задача вполне выполнимая
> ... но решительно никому не нужная. Читаем описание работы вируса. Каким образом,
> интересно, он выполнит вторую часть своей работы (для которой, собственно, и
> создан)?

Установка трояна - это издержки производства, контролируя выполнение браузера, злоумышленники могут контролировать и все вводимые в нём данные, включая параметры аутентификации к online-банкам и номера кредиток. Никакой SSL в этом случае не поможет и никакие кейлоггеры не нужны.

Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

74. "Зафиксировано распространение через рекламную сеть AdFox вре..."  +1 +/
Сообщение от анон on 20-Мрт-12, 19:56 
> параметры аутентификации к online-банкам

Для того и делают одноразовые пароли, подтверждение через sms и прочие подпорки.
т.е. в принципе смирились с тем, какое дырище этот веб

Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

83. "Зафиксировано распространение через рекламную сеть AdFox вре..."  +/
Сообщение от тоже Аноним email(ok) on 20-Мрт-12, 22:58 
А что, из этого плагина уже можно контролировать выполнение браузера? То-то этот зловред жил только до перезапуска...
Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

79. "Зафиксировано распространение через рекламную сеть AdFox вре..."  +2 +/
Сообщение от filosofem (ok) on 20-Мрт-12, 21:31 
>Каким образом, интересно, он выполнит вторую часть своей работы (для которой, собственно, и создан)?

Накатает багрепорт в winehq. =)

Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

56. "Зафиксировано распространение через рекламную сеть AdFox вре..."  +/
Сообщение от q11q11 on 20-Мрт-12, 17:41 
> теоретически, данное ПО может быть адаптировано и для атаки на Linux

а практически это ПО будет ничего не делать на машинах без JRE (ну или что там нужно для этой байды)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

59. "Зафиксировано распространение через рекламную сеть AdFox вре..."  +/
Сообщение от Andrey Mitrofanov on 20-Мрт-12, 17:48 
>на машинах без JRE

Да, пусть они там у себя в этих вебтриноль лабораториях портируют такую няку на JS/

Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

70. "Зафиксировано распространение через рекламную сеть AdFox вре..."  +/
Сообщение от Аноним (??) on 20-Мрт-12, 19:05 
Зачем отказываться от jre который нужен например для libreoffice если можно не ставить/удалить/отключить плагин
Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру