Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Bréking: A Stuxnet-Flamer kapcsolat

2012.06.11. 16:03 | buherator | Szólj hozzá!

A Kaspersky kutatói kapcsolatot találtak a Stuxnet és a Flamer között. A most közzétett blogposzt szerint a Flamer kódjának ismert mintákkal történő automatikus összevetésekor a rendszer hasonlóságot talált egy Tocy.A-ként regisztrált mintával. Mint kiderült, a Tocy.A-t még 2010-ben fogták, és bár akkor az automatikus osztályozó rendszer a kódot Stuxnet variánsnak minősítette, a kézi ellenőrzés ezt a döntést tévedésnek minősítette, a kártevőt pedig átnevezték. 

Most kiiderült, hogy az automatika a Tocy esetében nagyfokú hasonlóságot látott az utoljára a Stuxnet 2009-es változatában látott "207-es erőforrással", ami a Stuxnet pendrive-os terjedést (autorun.inf) és a helyi jogosultságkiterjesztést (MS10-073) részben megvalósító egyik modulja. A modul funkcionalitása, az általa használt fájlok és mutexek elnevezései, a belső obfuszkációs, kódoló és dekódoló algoritmusok lényegében megegyeznek. 

Mivel a Resource 207 a Stuxnet 2009 utáni változataiban nem fordul elő, a Kaspersky szakértői azt gyanítják, hogy a Stuxnet alapvetően a Flamer kódjára épült. Később az új terjedési lehetőségeknek köszönhetően (MS10-046), valamint az autorun.inf tiltás terjedésének köszönhetően a modult lecserélték a Stuxnet újabb változataiban, a két eszköz fejlesztése pedig ezután eltérő pályán haladt tovább.  

A teljes sztoriért kattintsatok a Securelist-re!

Címkék: kaspersky stuxnet flamer skywiper

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.