Исследователи из EnSilo объявили, что нашли баг в ядре Винды, да какой! Он может не позволить антивирусу узнать о загрузке исполняемого файла. Эксплуатация такой дыры напрочь исключает возможность проверки файла при запуске, то есть троянец может фактически обезвредить защитное решение.
Глюк был найден в PsSetLoadImageNotifyRoutine – функции уведомления, которая вызывается в момент загрузки виртуального образа. Без ее корректной работы контролировать запуск PE-файлов затруднительно, но именно там разработчики Microsoft оставили баг, из-за которого В ОПРЕДЕЛЕННЫХ УСЛОВИЯХ вредоносный файл может быть запущен незаметно для всех, кому это может быть интересно.
Чтобы использовать эту уязвимость, троянец сначала должен как-то попасть на машину. Товарищ Мисгав из EnSilo утверждает, что эта техника вполне пригодна, чтобы избежать антивирусного сканирования файла: допустим, хитрый бестелесный дроппер загружает на машину троянца, запускает его, и антивирус получает либо кривой путь к экзешнику, либо путь к другому файлу, который и сканирует.
Конечно, раз EnSilo сообщили о такой проблеме в прессу, значит, Microsoft уже выпустила необходимое обновление? Как бы не так. В Редмонде отреагировали на репорт следующим образом: раз уязвимость эксплуатируема только на уже скомпрометированной системе, патчить ядро никто не будет. Где-то мы подобное уже слышали. Кстати, по мнению Мисгава, этому багу не менее десяти лет, и свою историю он ведет еще от Windows 2000.
Зафиксирована атака через омографы IDN
Новость. Мудреный заголовок на самом деле означает, что некто пытается обмануть посетителей популярных сайтов, зарегистрировав домены с похожим написанием. Взяли adobe.com, заменили на adoḅe.com. Причем подстрочный знак под ḅ вообще не виден, если URL подчеркнут (например, в СМС-сообщении). На вид ооооочень похоже на настоящий сайт, но внутри не привычное выгодное предложение купить фотошоп за какие-то там 100500 руб./месяц без НДС, а навязчивое обновление Flash Player. Которое, конечно, не плеер, а бэкдор Beta Bot.
Проходимец Beta Bot действует нагло, отключая антивирус и блокируя доступ к веб-сайтам антивирусных компаний. Ну а дальше злоумышленник, дождавшись, когда компьютер оставят без присмотра, заходит на машину, как к себе домой и делает все, что захочет – например, ворует данные из различных веб-форм или творит от лица пользователя какие-нибудь пакости.
Подобная атака не нова – в распоряжении преступников есть множество символов Unicode или даже стандартной таблицы ASCII, которые выглядят как латиница, но с небольшими отличиями. В браузерах есть защита от омографов, но она не срабатывает, если в доменном имени все символы заменены на символы иностранного алфавита – браузер просто считает, что это домен в национальной кодировке.
У Equifax украли данные 143 миллиона американцев
Новость. Бюро кредитных историй – очень важный институт в США, где примерно все живут в кредит. Без полной кредитной истории американцу приходится туго: ни дом не купишь, ни детей в университет не отправишь. Поэтому БКИ – то самое место, где надежно и бессрочно хранятся сведения о каждом американце. Причем там хранится информация не только о том, как человек отдает кредит, но и масса данных, использующихся для оценки кредитоспособности.
И вот крупнейшее из этих кредитообразующих предприятий – бюро Equifax — месяц назад взломали, а информацию натурально похитили. По признанию жертвы, эта история может выйти боком примерно 143 миллионам американцев, поскольку хакерам удалось увести номера социального страхования, водительских удостоверений, даты рождения и адреса. Ну то есть кредитные истории контора все-таки уберегла. Наверное. Им так кажется.
Однако и без кредитных данных это крайне ценный массив с точки зрения рыночной конъюнктуры. Задействовать такую махину можно многими способами, большая часть из которых приведет к тому, что честные люди станут беднее, а нечестные – наоборот. Причем, самое интересное, что на этом инциденте кое-кто уже прилично нажился, и это топ-менеджеры самого Equifax. Так, Блумберг выяснил, что трое руководителей Equifax, включая, что характерно, финдира, успели по-быстрому слить акции родной конторы, когда узнали о взломе (то есть до оглашения самого факта). Чем грозит такая предприимчивость этим людям – вполне понятно, в США с этим очень строго.
Древности
«MusicBug»
Неопасный вирус, методом «Brain» поражает Boot-сектора винчестера и флоппи-дисков. Содержит текст «MusicBug Made in Taiwan». При обращении к дискам проигрывает несколько мелодий. Перехватывает int 13h.
Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 102.
Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.
Автор: Kaspersky_Lab