[вирусы][Windows]Промышленный шпионаж как он есть. Реальный пример.

0

0

http://habrahabr.ru/company/eset/blog/99506/#comment_3073036

Кажется редкий случай, когда вылезла на поверхность история с эксплуатацией ранее неизвестной уязвимости Windows для целей дистанционного сбора информации из SCADA систем на предприятиях.

Подробности достаточно вкусные, учитывая, что компоненты вируса имели легальную цифровую подпись от Realtek.

Все это дает возможность обхода большинства HIPS систем, так как наличие цифровой подписи у многих систем считается признаком легальной программы.

Что наглядно доказывает, что доверять «дяде» нельзя. Для реальной безопасности нужно иметь возможность _самому_ подписывать файлы, а не безальтернативно доверять кому-то еще, старательно заботящемуся, чтобы пользователь не мог что-то свое поставить.

Ссылка

←	[немного ЖЖ][Ъ-энтерпрайз?] Debian такой Debian...

[СПВ] Электрики есть? Помогите выбрать провода.

→

Решето!

Ждем ебилдов

xorik ★★★★★
(19.07.10 19:23:37 MSD)

Ссылка

Винда такая винда.

Zhbert ★★★★★
(19.07.10 19:23:42 MSD)

Ссылка

навинфак

~~power~~ ★
(19.07.10 19:24:23 MSD)

Ссылка

>На этом сюрпризы не закончились, так как эта вредоносная программа использовала ранее неизвестную уязвимость в обработке LNK-файлов (Shell Link) для не санкционированного распространения с различных USB-накопителей.

facepalm.bmp.gz

Deleted
(19.07.10 19:30:56 MSD)

Ссылка

Вот поэтому я и не юзаю венду.
А под вайном, оно, интересно, работает?

pekmop1024 ★★★★★
(19.07.10 19:31:48 MSD)

Ссылка

По ссылке ССЗБ. Включайте отображение скрытых файлов.

cruxish ★★★★
(19.07.10 19:41:59 MSD)

Ссылка

Пользователей венды опять поимели. Похоже у них это реально на регулярной основе.)

Dorif ★★★
(19.07.10 19:51:34 MSD)

Ответ на: комментарий от Dorif 19.07.10 19:51:34 MSD

>Пользователей венды опять поимели.

так пусть расслабят булки и наслаждаются

dimon555 ★★★★★
(19.07.10 20:08:43 MSD)

Ссылка

А чем Индонезия их заинтересовала?

n01r ★★
(19.07.10 20:08:56 MSD)

Все это старательно приготовленная утка. Еще в 2007 году таких уток не придумывали, потому что никому было не нужно запрещать Windows, как известно все исходные коды Windows проверены фапси/фстэк/фсб, и там ничего предосудительного не найдено

Karapuz ★★★★★
(19.07.10 20:27:15 MSD)

Ответ на: комментарий от Dorif 19.07.10 19:51:34 MSD

То ли дело луноходы - непрерывно имеют себя сами.

thesis ★★★★★
(19.07.10 20:29:50 MSD)

Ссылка

Ответ на: комментарий от n01r 19.07.10 20:08:56 MSD

>А чем Индонезия их заинтересовала?
Просто в мире кроеме россии винду ещё юзает такая продвинутая страна как вин-донезия

~~darkshvein~~ ☆☆
(19.07.10 20:35:11 MSD)

Ответ на: комментарий от Karapuz 19.07.10 20:27:15 MSD

>исходные коды Windows проверены фапси/фстэк/фсб, и там ничего предосудительного не найдено
пруф?

megabaks ★★★★
(19.07.10 20:37:36 MSD)

Ответ на: комментарий от Karapuz 19.07.10 20:27:15 MSD

>Еще в 2007 году таких уток не придумывали, потому что никому было не нужно запрещать Windows, как известно все исходные коды Windows проверены фапси/фстэк/фсб, и там ничего предосудительного не найдено

а третий сервис пак когда вышел и вообще обновления проверялись???

dimon555 ★★★★★
(19.07.10 20:40:56 MSD)

Ссылка

Ответ на: комментарий от darkshvein 19.07.10 20:35:11 MSD

> Просто в мире кроеме россии винду ещё юзает такая продвинутая страна как вин-донезия

Диаграммка как бе намекает, что распределение далеко не по-гауссу. Первые две страны (кроме сшп) не входят в топ списка по количеству жителей. Индонезия, вроде и 4, но афаик промышленность там не так сильно развита. Индия и то намного более глубоко).

n01r ★★
(19.07.10 20:46:02 MSD)

Ответ на: комментарий от megabaks 19.07.10 20:37:36 MSD

pcnews.ru/top/news/2day/microsoft-windows-server-2008-r2-office-2010-sql-10-306245.html

Karapuz ★★★★★
(19.07.10 20:50:30 MSD)

Ответ на: комментарий от megabaks 19.07.10 20:37:36 MSD

itnews.nnm-club.net/?p=5881

Karapuz ★★★★★
(19.07.10 20:51:41 MSD)

Ответ на: комментарий от n01r 19.07.10 20:46:02 MSD

индусы после того как покопались в коде вин-ды больше её не юзают.

~~darkshvein~~ ☆☆
(19.07.10 20:55:39 MSD)

Ссылка

Ответ на: комментарий от Karapuz 19.07.10 20:51:41 MSD

и?
где результаты?

megabaks ★★★★
(19.07.10 21:00:54 MSD)

Ссылка

целей дистанционного сбора информации из SCADA систем на предприятиях.

не зря делали последнюю SCADA-систему под Debian Lenny на базе OpenSCADA

aleax
(19.07.10 21:17:21 MSD)

Ссылка

Вообще как её можно ставить на предприятиях? Ладно линукс, его должен взламывать профессиональный хакер, но винда? Её может взломать даже блондинка.

Absolute_Unix ★
(19.07.10 22:16:45 MSD)

Ответ на: комментарий от Absolute_Unix 19.07.10 22:16:45 MSD

Даже блондинка, говоришь? Хм... 91.203.136.221 В качестве доказательства взлома можешь написать версию MSVS, установленную у меня. Вместе посмеёмся)

~~Kubik~~
(19.07.10 22:25:18 MSD)

Ответ на: комментарий от Karapuz 19.07.10 20:50:30 MSD

Когда Хром обновишь?

RussianNeuroMancer ★★★★★
(19.07.10 22:42:48 MSD)

Ответ на: комментарий от Karapuz 19.07.10 20:27:15 MSD

>Все это старательно приготовленная утка. Еще в 2007 году таких уток не придумывали, потому что никому было не нужно запрещать Windows, как известно все исходные коды Windows проверены фапси/фстэк/фсб, и там ничего предосудительного не найдено

Инфа 100%

cvb ★
(19.07.10 22:44:50 MSD)

Ссылка

Ответ на: комментарий от RussianNeuroMancer 19.07.10 22:42:48 MSD

В линуксе удобно выделять адрес мышкой и нажимать в браузере среднюю кн.мыши. Браузер переходит по адресу находящемуся в буфере обмена

Karapuz ★★★★★
(19.07.10 22:45:41 MSD)

Ответ на: комментарий от Kubik 19.07.10 22:25:18 MSD

Не пингуешься, выключился чтоль?

Zhbert ★★★★★
(19.07.10 22:48:02 MSD)

Ответ на: комментарий от Kubik 19.07.10 22:25:18 MSD

> В качестве доказательства взлома можешь написать версию MSVS, установленную у меня.

Чужой ip даже не только блондинка может подсунуть.

sin_a ★★★★★
(19.07.10 22:53:38 MSD)

Ответ на: комментарий от sin_a 19.07.10 22:53:38 MSD

Да нет, тут я. И ip мой, и за натом я не сижу, и через прокси не сижу. Так сказать, голым задом к интернету.

~~Kubik~~
(19.07.10 22:58:37 MSD)

Ссылка

Ответ на: комментарий от sin_a 19.07.10 22:53:38 MSD

Слив засчитан

oguretz ★
(19.07.10 22:59:17 MSD)

Ссылка

Ответ на: комментарий от Zhbert 19.07.10 22:48:02 MSD

Для винды тоже есть фаерволлы, умеющие блокировать ICMP.

oguretz ★
(19.07.10 22:59:45 MSD)

Ссылка

Ответ на: комментарий от Karapuz 19.07.10 22:45:41 MSD

Так а чего он без «http://» копируется? Я почему про хром подумал - в нём часть сборок шестой ветки копировала ссылки из адресной строки без «http://».
А какой браузер переходит по ссылкам из буфера обмена по средней кнопке мыши?

RussianNeuroMancer ★★★★★
(20.07.10 00:01:17 MSD)