Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Eddig ismeretlen Windows hibát használ ki egy új USB-s trójai

2010.07.15. 17:44 | buherator | 2 komment

Teljesen patchelt Windows 7-eket is sikeresen megfertőz az az új USB pendriveokon terjedő trójai program, amelyet nem rég fedeztek fel a VirusBlokAda szakértői. A kártevő speciális parancsikon fájlokon (.LNK) keresztül terjed, de az egyelőre nem világos, hogy pontosan milyen sebezhetőséget használ ki. A fájlba épített kártékony kód automatikusan lefut, mikor a Windows Explorer megjeleníti a fájlt, de mivel a kártevő rögzíti hogy milyen azonosítójú eszközt fertőzött meg, majd később csak ezen a meghjtón hajlandó elindulni - ha nem rendszabályozzák meg előtte debuggerben - a Microsoftnak egyelőre problémákat okoz a hiba reprodukálása. 

További érdekesség, hogy egy szakértő a Siemens WinCC SCADA rendszere felé irányuló kéréseket is rögzített a karanténban megfigyelt gépek egyikéről, így feltételezhető, hogy iparikémkedésre, vagy nemzetközi hírszerzésre próbálják felhasználni a fertőzött számítógépeket.

(via H-Security)

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Hunger 2010.07.16. 11:29:35

Legjobb az egészben az, hogy a trójai rootkitet is telepít kernel driver formájában és ezek a driverek a Realtek cég digitális aláírásával vannak hitelesítve. :))

Dave pedzegette, hogy az ember azt feltételezi az aláíró kulcsot legalább annyira biztonságosan kezelik, mint a forráskódokat. Innentől esetleg megindulhat a vezérhangya, hogy vajon a Realtek drivereinek forrásába nem csempésztek-e egyúttal kiskapukat... :P

dnet 2010.07.19. 16:47:40

@Hunger: ha már Realtek, íme pár idézet a Linux Realtek RTL-8139 driver (8139too.c) kódjából:

/* Undocumented registers, but required for proper operation. */

/* This is a complicated state machine to configure the "twister" for impedance/echos based on the cable length. All of this is magic and undocumented. */

/* Twister tuning parameters from RealTek. Completely undocumented, but required to tune bad links on some boards. */

Aki nem hiszi, járjon utána: git.kernel.org/?p=linux/kernel/git/stable/linux-2.6.34.y.git;a=blob;f=drivers/net/8139too.c;h=f0d23de3296752e05fb4f0deeba538ff0d90e0c8;hb=HEAD