Выясняются все новые и новые подробности о вирусе , обнаруженый в Июне этого года. Чем вирус необычен? Да много чем…
В первую очередь тем, что умел распространяться на флэшках (используя
уязвимость в обратотке файлов lnk
) Это уже само по себе экзотично в век Интернета.
Еще он примечателен тем, что использовал не одну, а
четыре
0-day (т.е. доселе неизвестные) уязвимости, что тоже нечасто случается. Вернее, две уязвимости были известны, но очень мало. Майкрософт про них не знал и патчей, соответственно, не выпустил. Для верности вирус использовал еще и пятую, известную, но очень злую уязвимость в RPC сервисе, которую уже во всю эксплуатировал червь .
Вирус был
подписан
краденой цифровой подписью. В целях защиты, Майкрософт требует, чтобы все драйвера в системе были подписаны. Не помогло. Злоумышленники скорее всего украли подписи из тайваньских отделений фирм MicronJ и RealTek. Странный факт, но офисы этих фирм находятся в одном и том же здании в городе Шинчу. Если это не простое совпадение, то это значит кто-то физически проник в комнаты, зашел на соответствующие компьютеры, выкрал ключи. Не любительская работа.
Его явно писала команда — пол-мегабайта кода на ассемблере, С и С++.
Обнаружен Stuxnet был не в Америке, Китае или Европе, где больше всего народу в интернете, и где нормальным вирусам самая благодать, а в Иране.
60% заражений
произошло в государстве исламской революции.
Он умеет принимать команды и обновляться децентрализованно,
по типу P2P
. Классические ботнеты пользуются центральными командными системами
А самое, не побоюсь этого слова, сенсационное — вирус не рассылает спам, не форматирует диск и даже не крадет банковские данные. Он занимается вредительством на производстве. Точнее, он атакует индустриальные системы контроля и управления, использующие софт под названием Simatic WinCC . Что еще сенсационней, Stuxnet скрытно прописывает себя на программируемые чипы (их используют для контроля за производством), маскируется и убивает какой-то важный процесс. Не случайный процесс, а возвращающий определенный код. К сожалению, что этот код знчит, пока неизвестно. . Это, кстати, объясняет способ распрстранения через флешки — промышленные системы редко подключены к Интернету.
Сам собой напрашивается вывод: группа крутых профессионалов хотела что-то сломать, что-то очень дорогое, важное и промышленное. Вероятнее всего, в Иране (хотя вирус попал и в другие страны) и, вероятнее всего, уже успешно сломала (по оценкам вирусологов Stuxnet прожил почти год до обнаружения) Это не простая группа хакеров. Тут нужно первоклассное техническое оснащение — от людей, крадущих, ключи, до спецов по уязвимостям, до экспертов по промышленному производству. Минимум приличных размеров копрорация, а вероятнее чьи-то госструктуры.
Кто точно в Иране пользуется системой WinCC неизвестно, но конспирологи указывают, что копия WinCC, причем нелицензионная
, стояла на строящемся
реакторе в Бушере
. На том самом, на которой Иран хочет обогащать уран для своей ядерной программы, и на защиту которого Россия хочет
послать
ракетный комплекс
С-300
и уже послала зенитки
Тор-1
.
Что целью является именно Бушер, это, конечно, не доказывает. Может быть, в Иране половина фабрик работает на данном продукте. Так тем хуже для Ирана.
(Update
: Вроде бы, WinCC в Иране все-таки уже лицензировали. Ключ проекта 024 в
сопроводительном README файле
специально отведен под Бушер (см. стр. 2) Других иранских объектов, кстати, в списке нет.)
Кстати: большая часть информации, необходимой для создания виря, лежало в открытом доступе. Похожие уязвимости пару раз упоминались в разных , фабричные пароли к базам данным лежали на форумах . P2P-шные ботнеты обсуждались, как теоретическая возможность. Про WinCC — фотка выше. Очень умная стратегия. Во-первых экономия средств, во-вторых, невозможно проследить путь информации. Вопрос "кто мог это знать?" сильно усложняется — а кто угодно мог.
Следим, короче, за новостями. На следующей неделе — презентация Ральфа Лангнера на конференции по системым промышленного управления , 29 сентября — исследователей из фирмы Symantec, а также исследователей из Касперского.
Бонус
: Германские хакеры, распотрошившие вирус также нашли сдохшего два года назад трояна на сайте родного нашего АтомСтройЭкспорта (посмотрите исходники www.atomstroyexport.com/index-e.htm) Отношение к инфекции он скорее всего не имеет, просто показывает уровень безопасности в атомной энергетике.
http://malaya-zemlya.livejournal.com/584125.html
В процессе анализа Stuxnet некоторые СМИ сделали вывод, что за созданием вируса стоит Израиль. Первым заговорил о причастности Израиля к атаке на Иран Джон Марков (John Markoff) , журналист New York Times, сообщив, что аналитики особо отметили название одного из фрагментов кода «myrtus» («мирт»). В переводе на иврит, «мирт» звучит как «адас», что, в свою очередь, созвучно с именем «Адасса», принадлежащем Эстер (Эсфирь) – героине еврейской истории, спасшей свой народ от уничтожения в Персидской империи. Проводя аналогию с древней Персией, на территории которой расположен современный Иран, некоторые аналитики полагают, что Израиль оставил «визитную карточку» в коде вируса. Впрочем, по мнению целого ряда экспертов, эта версия не выдерживает никакой критики и напоминает сюжет дешевого детектива – слишком уж примитивный «почерк», как для проекта такого масштаба.
Вместе с тем следует подчеркнуть, что еще прошлым летом (напомним, распространение Stuxnet началось в 2009 г.) ресурс WikiLeaks сообщил о серьезной ядерной аварии в Натанзе. Вскоре после этого стало известно, что глава Организации по атомной энергии Ирана Голам Реза Агазаде (Gholam Reza Aghazadeh) ушел в отставку без объяснения причин. Примерно в это же время в СМИ появились высказывания израильских политиков и военных о возможном противостоянии с Ираном на технологическом фронте. Кроме того, Израиль скорректировал прогнозируемую дату получения Ираном атомной бомбы, отодвинув ее на 2014 год, а полномочия Меира Дагана (Meir Dagan) , главы «Моссада», были продлены ради его участия в неназванных «важных проектах».
Коллеги О Мерчу полностью разделяют его опасения. Исследователь Trend Micro Поль Фергюсон (Paul Ferguson) заявил, что с созданием Stuxnet в мире появилось полноценное кибер-оружие, которое выходит за рамки традиционных деструктивных схем (кража номеров кредитных карт и т.д.) и способно привести к серьезным авариям на очень опасных промышленных объектах. Фергюсон подчеркивает, что сейчас аналитики будут «буквально запугивать правительство для того, чтобы то начало принимать серьезные меры безопасности».
И действительно, глава только что созданного Киберштаба США при Пентагоне, генерал Кит Александер (Keith Alexander) , выступая в Конгрессе, публично заявил, что за последние несколько лет угроза кибервойны растет стремительными темпами. Александер напомнил о двух кибер-атаках на целые государства – на Эстонию (в 2007 г., после демонтажа «Бронзового солдата») и на Грузию (в 2008 г., во время войны с Россией).
Президент Эстонии Тоомас Хендрик Ильвес (Toomas Hendrik Ilves) в интервью Berliner Zeitung поднимает вопрос о кибернетических угрозах на самом высоком уровне. Эстонский президент подчеркивает: решение НАТО разместить Центр кибербезопасности именно в Таллине (напомним, он открылся в мае 2008 года) связано с тем, что Эстония является одной из наиболее компьютеризированных стран в Европе, а также первым государством, подвергшимся полномасштабной кибератаке в 2007 году. После атаки, парализовавшей инфраструктуру целой страны, министр обороны Эстонии Яак Аавиксоо (Jaak Aaviksoo) даже потребовал от НАТО приравнять эти киберналеты к военным акциям. Схожие тезисы сегодня высказывает и президент: «Вирус Stuxnet продемонстрировал, насколько серьезно мы должны относиться к кибербезопасности, поскольку при помощи подобных продуктов может быть разрушена жизненно важная инфраструктура. В случае с Ираном вирус был, похоже, нацелен против ядерной программы, однако аналогичные вирусы могут разрушить нашу экономику, которая управляется при помощи компьютеров. Это должно обсуждаться в НАТО: если ракета разрушает электростанцию, в силу вступает параграф 5. Но как действовать в случае атаки компьютерных вирусов?» - спрашивает Тоомас Хендрик Ильвес. Предложение президента находится в русле нынешних тенденций: «Как ЕС, так и НАТО должны разработать единую политику, включая правовые нормы, которые станут основой для коллективной защиты против угрозы в киберпространстве», - считает глава государства.
С Тоомасом Хендриком Ильвесом полностью соглашается первый заместитель министра обороны США Уильям Линн (William J. Lynn) . В интервью «Радио Свобода» Линн попробовал ответить на поднятый Ильвесом вопрос: «Если удар затронул существенные элементы нашей экономики, мы, вероятно, должны считать его нападением. Но если результатом взлома было похищение данных, то это, возможно, не нападение. Между этими двумя крайностями множество других вариантов. Чтобы внятно сформулировать политическую линию, мы должны решить, где пролегает граница между взломом и нападением или между шпионажем и кражей данных. Полагаю, и в правительстве, и вне его идет дискуссия на эту тему, и я не думаю, что дискуссия эта уже исчерпана».
Кроме того, ключевым моментом выступления Уильяма Линна стало публичное оглашение пяти принципов, на которых зиждется новая стратегия кибербезопасности Соединенных Штатов. Цитируем замминистра обороны США без купюр:
«Первый из этих принципов заключается в том, что мы должны признать киберпространство тем, чем оно уже стало – новой зоной военных действий. Точно так же, как сушу, море, воздушное и космическое пространство, мы должны рассматривать киберпространство как сферу наших действий, которую мы будем защищать и на которую распространим свою военную доктрину. Вот что побудило нас создать объединенное Киберкомандование в составе Стратегического командования.
Второй принцип, о котором я уже упоминал - оборона должна быть активной. Она должна включать две общепринятые линии пассивной обороны – собственно, это обычная гигиена: вовремя ставить заплаты, обновлять свои антивирусные программы, совершенствовать средства защиты. Нужна также вторая линия обороны, которую применяют частные компании: детекторы вторжения, программы мониторинга безопасности. Все эти средства, вероятно, помогут вам отразить примерно 80 процентов нападений. Оставшиеся 20 процентов – это очень грубая оценка – изощренные атаки, которые невозможно предотвратить или остановить посредством латания дыр. Необходим гораздо более активный арсенал. Нужны инструменты, которые способны определять и блокировать вредоносный код. Нужны программы, которые будут выявлять и преследовать внутри вашей собственной сети вторгшиеся в нее зловредные элементы. Когда вы нашли их, вы должны иметь возможность заблокировать их общение с внешней сетью. Иными словами, это больше похоже на маневренную войну, чем на линию Мажино.
Третий принцип стратегии кибербезопасности – это защита гражданской инфраструктуры.
Четвертый – США и их союзники должны принять меры коллективной обороны. На предстоящем саммите НАТО в Лиссабоне будут приняты важные решения на этот счет.
Наконец, пятый принцип – США должны оставаться на передовых рубежах в разработке программного продукта».
Весьма примечательна реакция Дмитрия Рогозина , постоянного представителя России при НАТО, на происходящие в Альянсе процессы. Судя по всему, Россия крайне обеспокоена предстоящим саммитом НАТО в Лиссабоне, который состоится 20 ноября, ведь именно на нем планируется прояснить дилемму, считается ли атака на военные и правительственные компьютерные сети члена НАТО поводом для того, чтобы задействовать 5-ю статью Вашингтонского договора и ответить коллективным военным ударом. Рогозин в характерном для себя стиле пишет: «Мы, наконец, узнаем, допустимо ли для НАТО ударить по квартирам хакеров ядреной бомбой или предполагается, что кибервойна все-таки не выйдет за пределы киберпространства. В последнем сценарии у меня есть большие основания усомниться. Буквально на наших глазах в западной периодике разворачивается грандиозный скандал в связи с распространением компьютерного червя под названием Stuxnet. Я привык к чтению и отправке SMS на латинице, поэтому сразу прочел название вируса как русский глагол формы будущего времени: «стухнет». Будьте уверены, стухнет или отвалится что-нибудь у кого-нибудь обязательно, причем у тех, кто этот вирус запустил. Как известно, кто посеет ветер, тот пожнет бурю». Не решаясь комментировать литературно-творческие изыскания г-на Рогозина, отметим, что в двух крупнейших хакерских атаках на целые государства (Эстонию и Грузию) обвиняли именно Россию – возможно, именно этим вызвана столь бурная реакция впечатлительного полпреда.
Таким образом, на фоне истерии, спровоцированной Stuxnet, ряд государств заявили о необходимости формирования совместной политики по предотвращению кибератак. Приведет ли это к желаемому результату, даже если предположить, что будет выработан (и подписан) некий документ, регламентирующий использование деструктивных технологий? IT Business week это представляется крайне сомнительным, уж слишком велики соблазны, предлагаемые высокими технологиями: анонимность, безопасность (для атакующего), беспрецедентное соотношение «стоимость/эффективность». А значит, Stuxnet был только первой ласточкой эпохи техно-социальной революции, которая началась совсем не так, как мечталось.
Теги: Добавить метки
Середина июля была ознаменована кибератакой на промышленный сектор целых
государств. Естественно, наш журнал не мог пропустить такого события и
подготовил материал об этом инциденте.
Мы привыкли, что киберпреступность пытается обмануть, взломать и обворовать
несчастных пользователей интернета. Но время всегда заставляет людей двигаться
дальше, за новыми результатами и новой прибылью. То же самое происходит и в
отношении плохих парней. Можно еще с десяток лет строить ботнеты, воровать
номера CC, но ведь есть еще огромная неизведанная ниша - промышленность, ее
технологии, секреты и ценные данные. Именно с ней и произошел инцидент в разгар
лета - беспрецедентная атака на промышленные системы
, Supervisory Control And
Data Acquisition, что переводится как "Диспетчерское Управление и Сбор Данных"
(по-нашему это аналог АСУ ТП - Автоматизированная Система Управления
Технологическим Процессом). Такие системы контролируют процессы на производстве,
нефтяных вышках, атомных электростанциях, газопроводах и т.д. Естественно, такие
комплексы имеют свои базы данных, и та информация, что в этих базах, бесценна.
Именно на эту информацию и нацелилась свежая вредоносная программа, получившая
имя .
Первыми обнаружили нового зверя братья-славяне из Белоруссии, а именно -
антивирусная контора VirusBlokAda. 17 июня ими было найдено тело виря, но лишь к
10 июля они выпустили пресс-релиз (объясняя это тем, что им было необходимо
уведомить компании, чье имя было в ходе дела "опорочено", и изучить экземпляр).
Компании эти достаточно известны - Microsoft и Realtek. Специалисты VirusBlokAda
зафиксировали использование червем 0day-уязвимости при обработке файлов ярлыков
(.lnk), и поэтому в дело оказались вмешаны Microsoft (о самой уязвимости
поговорим позже). А вот при чем тут Realtek? Дело в том, что устанавливаемые
червем драйвера имели действующий сертификат, заверенный Verisign и выданный на
имя Realtek. Такой оборот дела сильно усложняет процесс детектирования
вредоносного контента различными системами обнаружения и предотвращения
вторжения на уровне хоста (HIPS, антируткиты), так как такие системы безгранично
доверяют сертификатам, не обращая внимания на суть дела. Я вполне уверен, что
доверенный сертификат сильно продлил жизнь "малваре", прежде, чем ее обнаружили.
Как бы то ни было, после пресс-релиза белорусов, другие антивирусные компании
так же подключились к исследованию, как новой уязвимости, с помощью которой
распространялся червь, так и к боевой нагрузке.
Механизм размножения червя, казалось бы, не особо-то и оригинальный - через
USB-флешки. Но autorun.inf тут уже ни при чем. В дело вступает новая уязвимость,
которая позволяет загружать произвольную.DLL-библиотеку, как только флешка
будет вставлена, и пользователь откроет ее содержимое. Дело в том, что на флешке
лежит.DLL-файл с вредоносным кодом (ну, фактически расширение, в случае с
червем, - .TMP) и.LNK-файл. Файл с расширением.LNK является обычным ярлыком.
Но в нашей ситуации ярлык не совсем обычный. При отображении ярлычка в
стандартной оболочке или Total Commander автоматически выполнится лежащий рядом
.DLL-файл со всеми вытекающими отсюда последствиями! Как такое могло произойти?
Как известно, ярлык указывает на исполняемый файл и при двойном щелчке
вызывает его. Но тут все без щелчков, да и.DLL-файл так не выполнить. Если
рассмотреть ярлык в HEX-редакторе, можно увидеть, что в его середине указан путь
до нашей.DLL. Кроме того, это не обычный ярлычок, а ярлычок на элемент панели
управления! Эта-то деталь все и объясняет. Любой элемент панели управления - .CPL-
апплет. Но CPL - это, по сути, простая.DLL, поэтому ярлык для панели управления
особый, он как бы понимает, что имеет дело с.DLL. Кроме того, такой ярлык
пытается ВЫТАЩИТЬ иконку из.DLL, чтобы отобразить ее в проводнике. Но для того,
чтобы вытащить иконку, надо подгрузить библиотеку. Что, собственно, оболочка и
делает с помощью вызова LoadLibraryW().
Справедливости ради стоит отметить, что вызов этой функции автоматически
влечет за собой выполнение функции DllMain() из подгружаемой библиотеки.
Поэтому, если такой ярлычок будет указывать не на.CPL-апплет, а на злую
библиотеку со злым кодом (в функции DllMain()), то код выполнится
АВТОМАТИЧЕСКИ при просмотре иконки ярлыка. Кроме того, эту уязвимость можно
использовать и с помощью.PIF-ярлыков.
Кроме интересного метода распространения удивила и боевая нагрузка - никаких
ботнетов, краж банковских паролей, номеров CC. Все оказалось куда масштабнее.
Уязвимость.LNK провоцирует загрузку скрытого файла с именем ~wtr4141.tmp,
лежащего рядом с ярлыком. Файл этот исполняемый, но маленький (всего 25 Кб). Как
отметили специалисты из Symantec, очень важно на первых порах скрыть свое
присутствие, пока система еще не заражена. С учетом специфики 0day-уязвимости,
которая действует, как только пользователь увидит иконки, сработает и
~wtr4141.tmp, который в первую очередь вешает перехваты системных вызовов в
kernel32.dll. Перехватываемые вызовы:
Хуки также вешаются и на некоторые функции из ntdll.dll:
Все эти функции обрабатываются со следующей логикой - если файл начинается с
"~wtr" и заканчивается на ".tmp" (или на ".lnk"), то удалить его из
возвращенного оригинальной функцией значения, а затем вернуть, что осталось.
Другими словами, скрыть свое присутствие на диске. Поэтому пользователь просто
не увидит файлы на флешке. После этого ~wtr4141.tmp подгружает второй файл с
диска (~wtr4132.tmp). Делает он это не совсем стандартно, я бы даже сказал,
извращенно - установкой хуков в ntdll.dll на вызовы:
Затем с помощью вызова LoadLibrary он пытается подгрузить несуществующий файл
со специальным именем, на это дело срабатывают ранее установленные хуки и грузят
второй файл, уже реально существующий - ~wtr4132.tmp, вернее, его
незакодированную часть, которая раскодирует вторую часть (по факту -
UPX-сжатие). Вторая часть представляет собой некие ресурсы, другие файлы,
которые вступают в дело после расшифровки и экспорта (аналогичным извращенным
методом с хуками на API функции).
Первым делом устанавливаются два драйвера - mrxcls.sys и mrxnet.sys (именно
из-за этих файлов червь получил такое название - Stuxnet). Устанавливаются они в
системную директорию, а функционал на них - руткит уровня ядра с той же логикой,
что и в первом файле. Это обеспечит защиту червя после перезагрузки и завершения
процесса ~wtr4141.tmp.
Драйвера эти, как уже было сказано, имеют легитимный сертификат Realtek,
поэтому их установка пройдет без проблем (на данный момент сертификат уже
отозван). Кроме руткита распаковываются файлы шаблона ярлыка и ~wtr4141.tmp для
организации заражения других USB-устройств. Потом экспортируется код, который
инъектится в системные процессы и добавляет в реестр вышеотмеченные.SYS-файлы
руткита (HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxCls). Далее
раскодируются два.DLL-файла, которые заменяют существующие файлы системы SCADA
- Siemens Step 7.
Таким образом, все вызовы из системы SCADA переходят в поддельные библиотеки.
Там происходит "нужная" обработка, после чего вызовы передаются в оригинальные.DLL
(остальную часть функций вирь и вовсе эмулирует самостоятельно). Кроме всего
перечисленного, червь блокирует процессы антивирусов и пытается найти сервера
СУБД (MSSQL). Найдя таковые, он пробует выполнить вход с учетной записью
WinCCConnect и паролем по умолчанию - 2WSXcder. Это учетная запись от БД SCADA
типа Siemens Simatic WinCC. Как видно, червь заточен именно под продукт Siemens.
Если аутентификация прошла успешно, шпион выкачивает данные о процессах и прочую
секретную инфу. Кроме того, он не гнушается поискать в локальных файлах полезную
для шпионов информацию. Если удается обнаружить выход в интернет, то червь лезет
на один из командных серверов. Имена серваков такие:
Туда червь и пытался достучаться и "что-то" слить в зашифрованном виде.
Ребята из Symantec разобрались и с этой задачей. Оказалось, что шифрование
представляет собой побайтовую операцию XOR с 31-битным ключом, который был
прошит в одной из.DLL-библиотек. Ответ с сервера также приходит в
XOR-виде, правда, используется уже другой ключ из той же библиотеки. Троян
отсылает на сервер общую информацию о зараженной машине (версия винды, имя
компьютера, адреса сетевых интерфейсов, а также флаг наличия SCADA). В ответ от
командного центра могут приходить вызовы RPC для работы с файлами, создания
процессов, внедрения в процесс и загрузки новых библиотек и др.
Именно так… что же это было?! Простые блэкхаты не будут ввязываться в то, что
не принесет легких денег. Данные из SCADA-систем интересны лишь конкурентам.
Конкурентам в коммерческом или политическом планах. Если взглянуть на карту
распространения заразы (по данным лаборатории Касперского), то видно, что
эпицентр - Азия (а именно - Индия, Иран и Индонезия). Если взглянуть на
описанный функционал червя, то можно ужаснуться - контроль над.DLL и перехват
функций SCADA. Разве не круто - управлять индийской атомной электростанцией по
инету? Или проникнуть в иранскую ядерную программу? К тому же, мы имеем факт,
что драйвера руткита имеют легальный сертификат, который географически
принадлежит компании, базирующейся в той же зоне (в Тайланде)!
Этой историей занимаются не только антивирусные компании, но и
правительственные структуры (чтобы замести свои следы? :)). В результате
"захвата" указанных доменов и командных серверов удалось проанализировать
статистику стучащихся туда больных машин. В итоге данные Symantec практически
совпадают со сведениями Лаборатории Касперского - все те же страны. Кроме всего
этого уже подтвердились факты проникновения и в саму систему SCADA. Пока не так
много, около трех фактов (два из Германии и один из Ирана). Но ведь не все будут
публично говорить, что их поимели…
После всего случившегося, я думаю, возникнет неслабый интерес к безопасности
SCADA. До этого инцидента уже были и исследователи, и фирмы, которые
предупреждали о проблемах в безопасности и предлагали свои услуги, но этот
конкретный случай может помочь им очень неплохо заработать. Смею полагать, что
такая же модель червя годится и для ERP-систем, так как показанная схема
применима и для этой модели. ERP-системы отвечают за планирование и управление
бизнесом - деньгами, задачами, товарами и т.д., и т.п. (Я бы даже сказал, что
написать такого червя под ERP было бы легче, но раз была выбрана SCADA и регионы
Азии, то тут скорее попахивает политикой…). Так что все эти бизнес- и
промышленные системы еще ждут своих героев (привет Александру Полякову aka
sh2kerr). Но вот что касается.LNK-уязвимости, то, например, троянец Zeus уже
стал использовать ее для своего размножения. Кроме того, ребята из Rapid7
сделали эксплойт для Metasploit, который способен работать через HTTP с помощью
WebDav.
При этом шеллкод забивается в.DLL-файл, и ярлык его подгружает. Патча на
момент написания статьи еще не было, а угроза весьма существенная - тут все
антивирусные компании говорят, что они прекрасно детектируют виря по сигнатурам,
поэтому самое время обратить внимание, что сигнатуры - отстой. Сигнатура DLL нам
не так интересна, а вот сигнатура, по которой определяется, что данный ярлык -
эксплойт, определенно может хромать. Возьмем ярлык от публичного PoC
(suckme.lnk_) и отправим это чудо на virustotal.com. В итоге мы имеем 27
антивирусов, которые его обнаружили. Теперь откроем панель управления и создадим
пару ярлыков, один желательно от Java. Далее переименуем эти ярлыки через
консоль:
nopy Java.lnk Java.lnk_
Второй ярлык копируем аналогично первому. Теперь мы можем редактировать их в
HEX-редакторе. Обычно все ярлыки имеют указатель в виде Unicode-формата, но
Java-ярлык - нет. В итоге мы видим две ссылки на CPL-апплеты, причем для Java -
не в Unicode-виде. Меняем путь к CPL (DLL) на наш файл, удаляем посередине
лишние байты (fa ff ff ff 20) и сохраняем. Копируем обратно с расширением.LNK.
Итоги отправляем на virustotal.com. Для Unicode-ярлыка осталось 11 антивирусов,
для Java-ярлыка - 8, то есть 70% антивирусов перестали детектить эксплойт, и
среди этих антивирусов такие гиганты, как Symantec, Kaspersky, AVG, NOD32. Так
что антивирус тут - не панацея.
Это так… пять копеек от меня, чтобы там не расслаблялись, а вообще,
антивирусникам надо сказать спасибо за столь тщательную и интересную работу,
которую они проделали, чтобы помочь нам разобраться в этой угрозе. Спасибо Вам,
бойцам антивирусного фронта: AdBlokAda (первыми обнаружили и изучили), Symantec
(за подробный технический анализ в своем блоге), компании ESET и лично
Александру Матросову за их работу в московской лаборатории. Также спасибо
лаборатории Касперского и их блогу, в котором Александр Гостев делился своими
мыслями и красивыми картами:). Ну и спасибо тебе, мой читатель, переваривший
этот важный материал.
Если подобное сказали буквально лет 7 назад, то тогда, скорее всего, такому факту просто не поверили бы. Сейчас же опасность кражи персональных данных пользователей мобильных телефонов крайне высока. Существует большое множество зловредных программ, которые занимаются именно кражей персональных данных с мобильных телефонов пользователей. А еще совсем недавно никто и не мог предположить, что мобильные платформы заинтересуют злоумышленников. История вирусов начинается с 2004 когда. Именно этот год считается точкой отсчета для мобильных вирусов. При этом вирус , созданный в этом году, был подобран под систему Symbian. Он являлся демонстрацией самой возможности существования вирусов на платформе операционной системы Symbian. Авторы такого рода разработок, движимые любознательностью и стремлением поспособствовать укреплению безопасности атакованной ими системы, обычно не заинтересованы в их распространении или злоумышленном использовании. Действительно, оригинальный экземпляр вируса Worm .SymbOS.Cabir был разослан в антивирусные компании по поручению самого автора, однако позже исходные коды червя появились в интернете, что повлекло за собой создание большого количества новых модификаций данной вредоносной программы. Фактически, после публикации исходных кодов Cabir начал самостоятельно "бродить" по мобильным телефонам во всем мире. Это доставило неприятности обычным пользователям смартфонов, но эпидемии по сути не произошло, так как у антивирусных компаний тоже были исходные коды этого вируса и именно тогда начались первые выпуски антивирусов под мобильные платформы. Впоследствии стали распространяться различные сборки этого вируса, которые, впрочем, не приносили огромного вреда. Далее последовал первый бэкдор (зловредная программа , которая открывает доступ в систему извне). Ее функционал позволяет передавать в обе стороны файлы и выводить на экран текстовые сообщения. Когда зараженное устройство подключается к интернету, бэкдор отсылает его IP-адрес по электронной почте своему хозяину. Впоследствии появилась еще одна зловредная программа для мобильных платформ. Программа представляет собой SIS- файл - приложение -инсталлятор для платформы Symbian. Ее запуск и установка в систему приводят к подмене иконок (AIF-файлов) стандартных приложений операционной системы на иконку с изображением черепа. Одновременно, в систему, поверх оригинальных, устанавливаются новые приложения. Переписанные приложения перестают функционировать. Все это было подхвачено различными любителями в написании зловредных программ, которые начали плодить всевозможные модификации на старые вирусы, а также пытаться создавать свои собственные. Впрочем, на тот момент все зловредные программы под мобильные платформы были достаточно примитивными и не могли сравниться со своими аналогами зловредных программ на компьютере. Достаточно много шума наделала программа под названием Trojan.SymbOS Lockhunt. Эта программа являлась трояном. Он эксплуатирует "доверчивость" (отсутствие проверок целостности файлов). После запуска, вирус создает в системной директории /system/apps/ папку с неблагозвучным с точки зрения русского языка названием gavno, внутри которой размещаются файл gavno. app и сопутствующие ему gavno.rsc и gavno_caption.rsc. При этом во всех файлах вместо соответствующей их форматам служебной информации и кода содержится обычный текст. Операционная система , исходя только из расширения файла gavno. app , считает его исполняемым - и зависает, пытаясь запустить " приложение " после перезагрузки. Включение смартфона становится невозможным. После этих вирусов, в основном, идут однотипные вирусы, которые могут передавать сами себя посредством различных технологий.
Сама уязвимость мобильных платформ достаточно высокая, так как нет таких средств, которые надежно бы защищали мобильные платформы. К тому же необходимо учитывать и то, что современные мобильные платформы уже вплотную подбираются к обычным операционным системам, а значит и алгоритмы воздействия на них остаются похожими. Кроме того, у мобильных платформ есть два достаточно специфических метода передачи данных, которых нет у компьютеров - это технология Bluetooth и MMS . Bluetooth - технология беспроводной передачи данных, разработанная в 1998 г. На сегодняшний день она широко используется для обмена данными между различными устройствами: телефонами и гарнитурами к ним, карманными и настольными компьютерами и другой техникой. Bluetooth-связь обычно работает на расстоянии до 10-20 м, не прерывается физическими препятствиями (стенами) и обеспечивает теоретическую скорость передачи данных до 721 Кбит/сек. ММS - относительно старая технология, призванная расширить функционал SMS возможностями передачи картинок, мелодий и видео. В отличие от сервиса
Название угрозы
Имя исполняемого файла:
Тип угрозы:
Поражаемые ОС:
Stuxnet Virus
(random).exe
Win32 (Windows XP, Windows Vista, Windows Seven, Windows 8)
Stuxnet Virus копирует свои файл(ы) на ваш жёсткий диск. Типичное имя файла (random).exe . Потом он создаёт ключ автозагрузки в реестре с именем Stuxnet Virus и значением (random).exe . Вы также можете найти его в списке процессов с именем (random).exe или Stuxnet Virus .
Если у вас есть дополнительные вопросы касательно Stuxnet Virus, пожалуйста, заполните и мы вскоре свяжемся с вами.
Скачайте эту программу и удалите Stuxnet Virus and (random).exe (закачка начнется автоматически):
* SpyHunter был разработан американской компанией EnigmaSoftware и способен удалить удалить Stuxnet Virus в автоматическом режиме. Программа тестировалась на Windows XP, Windows Vista, Windows 7 и Windows 8.
Программа способна защищать файлы и настройки от вредоносного кода.
Программа может исправить проблемы с браузером и защищает настройки браузера.
Удаление гарантированно - если не справился SpyHunter предоставляется бесплатная поддержка.
Антивирусная поддержка в режиме 24/7 входит в комплект поставки.
Если вы не уверены какие файлы удалять, используйте нашу программу Утилиту для удаления Stuxnet Virus .. Утилита для удаления Stuxnet Virus найдет и полностью удалит Stuxnet Virus и все проблемы связанные с вирусом Stuxnet Virus. Быстрая, легкая в использовании утилита для удаления Stuxnet Virus защитит ваш компьютер от угрозы Stuxnet Virus которая вредит вашему компьютеру и нарушает вашу частную жизнь. Утилита для удаления Stuxnet Virus сканирует ваши жесткие диски и реестр и удаляет любое проявление Stuxnet Virus. Обычное антивирусное ПО бессильно против вредоносных таких программ, как Stuxnet Virus. Скачать эту упрощенное средство удаления специально разработанное для решения проблем с Stuxnet Virus и (random).exe (закачка начнется автоматически):
Удаляет все файлы, созданные Stuxnet Virus.
Удаляет все записи реестра, созданные Stuxnet Virus.
Программа может исправить проблемы с браузером.
Иммунизирует систему.
Удаление гарантированно - если Утилита не справилась предоставляется бесплатная поддержка.
Антивирусная поддержка в режиме 24/7 через систему GoToAssist входит в комплект поставки.
Оставьте подробное описание вашей проблемы с Stuxnet Virus в разделе . Наша служба поддержки свяжется с вами и предоставит вам пошаговое решение проблемы с Stuxnet Virus. Пожалуйста, опишите вашу проблему как можно точнее. Это поможет нам предоставит вам наиболее эффективный метод удаления Stuxnet Virus.
Эта проблема может быть решена вручную, путём удаления ключей реестра и файлов связанных с Stuxnet Virus, удалением его из списка автозагрузки и де-регистрацией всех связанных DLL файлов. Кроме того, отсутствующие DLL файлы должны быть восстановлены из дистрибутива ОС если они были повреждены Stuxnet Virus .
Чтобы избавиться от Stuxnet Virus , вам необходимо:
1. Завершить следующие процессы и удалить соответствующие файлы:
Предупреждение: вам необходимо удалить только файлы, контольные суммы которых, находятся в списке вредоносных. В вашей системе могут быть нужные файлы с такими же именами. Мы рекомендуем использовать для безопасного решения проблемы.
2. Удалите следующие папки:
3. Удалите следующие ключи и\или значения ключей реестра:
Предупреждение: Если указаны значения ключей реестра, вы должны удалить только указанные значения и оставить сами ключи нетронутыми. Мы рекомендуем использовать для безопасного решения проблемы.
4. Сбросить настройки браузеров
Stuxnet Virus иногда может влиять на настройки вашего браузера, например подменять поиск и домашнюю страницу. Мы рекомендуем вам использовать бесплатную функцию "Сбросить настройки браузеров" в "Инструментах" в программе для сброса настроек всех браузеров разом. Учтите, что перед этим вам надо удалить все файлы, папки и ключи реестра принадлежащие Stuxnet Virus. Для сброса настроек браузеров вручную используйте данную инструкцию:
Для Internet Explorer
Если вы используете Windows XP, кликните Пуск , и Открыть . Введите следующее в поле Открыть без кавычек и нажмите Enter : "inetcpl.cpl".
Если вы используете Windows 7 или Windows Vista, кликните Пуск . Введите следующее в поле Искать без кавычек и нажмите Enter : "inetcpl.cpl".
Выберите вкладку Дополнительно
Под Сброс параметров браузера Internet Explorer , кликните Сброс . И нажмите Сброс ещё раз в открывшемся окне.
Выберите галочку Удалить личные настройки для удаления истории, восстановления поиска и домашней страницы.
После того как Internet Explorer завершит сброс, кликните Закрыть в диалоговом окне.
Предупреждение: Сбросить настройки браузеров в Инструменты
Для Google Chrome
Найдите папку установки Google Chrome по адресу: C:\Users\"имя пользователя"\AppData\Local\Google\Chrome\Application\User Data .
В папке User Data , найдите файл Default и переименуйте его в DefaultBackup .
Запустите Google Chrome и будет создан новый файл Default .
Настройки Google Chrome сброшены
Предупреждение: В случае если это не сработает используйте бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Stronghold AntiMalware.
Для Mozilla Firefox
Откройте Firefox
В меню выберите Помощь > Информация для решения проблем .
Кликните кнопку Сбросить Firefox .
После того, как Firefox завершит, он покажет окно и создаст папку на рабочем столе. Нажмите Завершить .
Предупреждение: Так вы потеряте выши пароли! Рекомендуем использовать бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Stronghold AntiMalware.