[13.06.2012 22:41:09]
Главный антивирусный эксперт "Лаборатории Касперского" Александр Гостев нашел связь м/у программой Flame и платформой Tilded, на которой были построены Stuxnet и Duqu. Т.о., возникают I-е свидетельства, что все 3 вредоносные утилиты распространились из одного источника и сделаны при участии одних и тех же девелоперов.
Раньше та же "Лаборатория Касперского" заявляла, что нет никакой связи м/у Flame и Tilded, однако сейчас они провели более глубокий разбор Stuxnet - и в корне изменили своё мнение. Всё дело самой I-ой, малоизвестной версии Stuxnet, относящейся к июню 2009 г..
Этот ранний вариант вредоносной утилиты был выявлен сравнительно поздно, когда основной вариант Stuxnet уже подвергся тщательному обследованию, так что раннюю версию ученые не в особенности внимательно изучали. А вот там и располагается ключ к загадке. Наиболее существенным отличием I-ой версии Stuxnet является ресурс 207, который в версии 2009 г. имел размер 520 192 байта и целиком отсутствовал в версии 2010 г.. Ресурс 207 выполняет функцию инфектора съёмных дисков. На время создания вируса эта уязвимость ещё не была публично известна и являлась 0day. Так вот, базовый модуль Flame по большей части совпадает с этим ресурсом 207. Возможно даже заявить, что это и есть Flame, пишет Александр Гостев, "точнее, это proto-Flame - модуль, который однозначно имеет немало общего с тем mssecmgr.ocx, в который преобразился Flame к 2012 г.". Что это такое? Ресурс 207 представляет собою зашифрованный файл, который содержит еще 1 PE-файл (351 768 байт)
Этот ранний вариант вредоносной утилиты был выявлен сравнительно поздно, когда основной вариант Stuxnet уже подвергся тщательному обследованию, так что раннюю версию ученые не в особенности внимательно изучали. А вот там и располагается ключ к загадке. Наиболее существенным отличием I-ой версии Stuxnet является ресурс 207, который в версии 2009 г. имел размер 520 192 байта и целиком отсутствовал в версии 2010 г.. Ресурс 207 выполняет функцию инфектора съёмных дисков. На время создания вируса эта уязвимость ещё не была публично известна и являлась 0day. Так вот, базовый модуль Flame по большей части совпадает с этим ресурсом 207. Возможно даже заявить, что это и есть Flame, пишет Александр Гостев, "точнее, это proto-Flame - модуль, который однозначно имеет немало общего с тем mssecmgr.ocx, в который преобразился Flame к 2012 г.". Что это такое? Ресурс 207 представляет собою зашифрованный файл, который содержит еще 1 PE-файл (351 768 байт)
The main anti-virus expert "Kaspersky Lab" Alexander Gostev found a link m / s from the program and platform Flame Tilded, which were built Stuxnet and Duqu. Thus, there are I-e evidence that all three utilities malware spread from a single source and are made with the participation of the same developers. Previously, the same as "Kaspersky Lab" stated that there is no connection m / s from Flame and Tilded, but now they had more in-depth analysis of Stuxnet - and radically changed their minds. It's all about the most I-oh, a little-known version of Stuxnet, relating to June 2009. This early version of the malware utilities was identified relatively late, when the main version of Stuxnet has already undergone a thorough examination, so that the earlier version of the scientists are not particularly closely studied. But there is the key to the puzzle. The most significant difference between I-th version of Stuxnet is a resource of 207, which in 2009 had a version of the size of 520,192 bytes and is entirely absent from the 2010 version. 207 serves as a resource infector removable drives. At the time of the creation of the virus this vulnerability was not publicly known, and was a 0day. So, the basic module Flame for the most part coincides with the resource 207. It is even possible to say that this is the Flame, writes Alexander Gostev, "rather, it is proto-Flame - a module which uniquely has a lot to do with mssecmgr.ocx, which was transformed to the Flame in 2012." What is it? Yield 207 represents an encrypted file that contains even a PE-file (351,768 bytes)
Опять какую-то "хрень" придумали!
ОтветитьУдалитьС новой напастью что делать то?
ОтветитьУдалить