Чтобы добавлять сообщения и комментарии, .

@deboon:
deboon

Все уже в курсе, что если у вас Самсунгодевайс на Exynos — вы ОПАСНОСТЕ. Любое установленное приложение может получить полный контроль над девайсом. Я уже страдаю, кстати.

@skobkin-ru:
skobkin-ru

Опять какая-то 0-day уязвимость в Java. Пошел в opera:plugins вырубил Java до ближайшего апдейта, ибо вообще ей в браузере не пользуюсь. Может ну её вообще?

@Umnik:
Umnik

Имейте в виду: secunia.com

@Umnik:
Umnik

TDL4 стал использовать 0-day уязвимость
В начале декабря экспертами Лаборатории Касперского были обнаружены экземпляры вредоносной программы TDL4 (обновление TDSS), которые используют 0-day уязвимость для повышения привилегий в системах Windows 7/2008 x86/x64 (Windows Task Scheduler Privilege Escalation, CVE: 2010-3888). Данная уязвимость первоначально была обнаружена Лабораторией Касперского во вредоносной программе Stuxnet.
Использование эксплоита к данной уязвимости позволяет руткиту TDL4 устанавливаться в системе без каких либо сообщений от защитных механизмов UAC, по умолчанию функционирующих во всех современных операционных системах Windows.
securelist.com

@Michae1:
Michae1

Stuxnet: 5 уязвимостей для размножения. Еще будут?
xakep.ru

@Umnik:
Umnik

У Adobe опять критические дни
Под таким странным заголовком ЛК рассказывает, что во Flash player и Adobe Reader/Acrobat вновь обнаружены дырки. В последних версиях, конечно. По имеющимся сведениям, брешь CVE-2010-3654 в Reader/Acrobat под Windows уже активно эксплуатируется ITW.
По данным Adobe, данная уязвимость критична для Flash Player 10.1.85.3 и ниже, установленных на платформах Windows, Mac, Linux и Solaris; Flash Player 10.1.95.2 и ниже под Android, а также Adobe Reader 9.x под Windows, OS X, UNIX и Acrobat 9.x под Windows и OS X. Adobe Reader/Acrobat версий 8.x этой опасности не подвержены.
securelist.com

@Umnik:
Umnik

А вы знали, что Стакснет набирает популярность, и речь о заражении, в России и Казахстане? Тот самый, который был создан для иранской АС, тот самый, который использовал 4(!) зеро-дей уязвимости, тот самый, который имел ЭЦП Реалтека и Джеймикрона. securelist.com

@Michae1:
Michae1

securelist.com
Новый виток в истории малварестроения: кибервойны — живая реальность. По ссылке — последние новости с фронтов. Пока все латали дыры, связанные с 0-day дыркой в механизме обработки ярлыков, реверсеры раскопали еще несколько способов распространения заразы, и снова 0-day.

@Umnik:
Umnik

Новый эпизод "Мирт и гуава". securelist.com Общее содержание:
1. Кроме дырки в обработке .lnk/.pif, о которых было известно сразу, червь Stuxnet использовал еще 2 уязвимости. Одна из них не была известна раньше и касается тех, кто использует/шарит принтеры
2. Вторая — таже, что используется kido
3. ВНЕЗАПНО в черве обнаружено еще две уязвимости, которые используются для поднятие прав (те две — для атаки). Суммарно червь использует 4 дырки
4. MS всех любит и, конечно, клепает заплатки. Для п.1 она уже готова
-5. Судя по схеме, после атаки компы начинают краснеть от натуги-

@Umnik:
Umnik

MS выпускает внеплановый патч против уязвимости: securitylab.ru

@Umnik:
Umnik

В ответ на #838297:
1. Касперский выпустил generic-детект вредоносных ярлыков. Он приплыл штатным обновлением. Т.е. ни предупреждений, ни перезагрузок. Еще 20 июля о нем (приплывшем обновлении) было известно. И моих записей. :)
2. Аутпост выпустил новую версию своего антивируса, который тоже умеет детектить вредоносные LNK. По крайней мере они так заявляют.
За других мне не известно.

@Umnik:
Umnik

*securelist.com *JMicron securelist.com
Четвертая часть эпизода "Мирт и гуава". Интересности включены.

@Umnik:
Umnik

*securelist.com Продолжение #822967
17 июля VeriSign Revokes Certificate Used to Sign Stuxnet Malware: threatpost.com
19 июля Вячеслав Русаков в ЖЖ делает заметку о вредоносе: users.livejournal.com Он занимается исследованием драйвера и отвергает предположение о том, что драйвер был написан самим Реалтеком. Напомню, что в свое время Sony использовала руткит для сокрытия некоторых файлов, так что такое предположение было не беспочвенным.
19 июля компания ESET делает запись на Хабре со своим описанием: habrahabr.ru Мелкое обсуждение записи можно прочитать на Anti-Malware: anti-malware.ru Тем более что Гостев саркастически отзывается о нем.
20 июля компания "Лаборатория Касперского" публикует новую запись: securelist.com Теперь ITW обнаружен вредонос, имеющий подпись JMicron. Ладушки... Подпись в этот раз не истекла на момент обнаружения, она до 2012-го года!
20 июля компания "Лаборатория Касперского" публикует небольшую запись на тему уязвимости: securelist.com Отсюда же узнаем, что продукты ЛК имеют generic-детект на вредоносные ярлыки.
20 июля Секьюритилаб публикует новость об уязвимости, хронологию событий и метод заражения вредоносом: securitylab.ru

Как защищаться?
1. Уязвимости с LNK могут использоваться тогда, когда файловый менеджер отображает иконку. То есть FAR Manager безопаснее. Что, впрочем, нисколько не решает проблемы.
2. Можно отключить отображение иконок ярлыков. HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler
Удалить данные для значения "(Default)". Перезапустить Windows Explorer.
3. Вместо радикального п. 2 можно отключить службу WebClient.
Запустить cmd от имени Администратора
sc stop WebClient
sc config WebClient start= disabled
4. Не забываем про права User. У него нет прав на установку драйвера.

Прошу прощения за такие вот посты один за одним. Ошибок много сделал при наборе текста :( Нужна возможность редактировать записи в течении, например, 10 минут.

@Umnik:
Umnik

*securelist.com Наверняка вы уже слышали про уязвимость нулевого дня, касающуюся ярлыков. Суть в том, что все актуальные версии Windows, не зависимо от разрядности, имеют уязвимость в обработке ярлыков. Система отображает иконку ярлыка на сменном/сетевом диске в Проводнике/Тотал Командере/аналоге и выполняется вредоносный код. Вот так просто. Никаких вам примитивных autorun.inf, только отображение иконки. Носитель -> Открытие -> Получение списка файлов (вредоносные могут быть скрыты и в список не попасть, это не важно) -> Отображение иконок файлов => Отображение иконок ярлыков вредоносов -> Заражение системы. Здорово? А хотите больше?
А вот вам больше. Об уязвимости узнали, когда ITW обнаружили вредоносов, использующих эту уязвимость. Вредоносы имели ЭЦП Realtec. Как вам это? Вредоносы с ЭЦП ставят под удар всю текущую систему безопасности всех ОС.

Теперь хронология событий и сопровождающих статей.
17 июня компания "ВирусБлокАда" обнаружила вредоноса, подписанного Реалтеком и использующего зеро-дей: anti-virus.by Это руткиты, которые ставят драйвер, когда файловый менеджер отображает их ярлыки.
10 июля компания "ВирусБлокАда" сообщает об этом в паблике: secureblog.info (по-русски: ifolder.ru )
11 июля компания "ВирусБлокАда" создает топик обсуждения на Anti-Malware: anti-malware.ru
15 июля компания "Лаборатория Касперского" публикует первые результаты исследования: securelist.com Александр Гостев немного дополняет коллег из "ВирусБлокАды" и наводит туман, говоря что название "Мирт и гуава" не просто так дано.
15 июля компания "Лаборатория Касперского" публикует продолжение исследования: securelist.com Александр Гостев больше раскрывает ситуацию с электронной цифровой подписью; отмечает, что срок действия сертификата истек 12 июня, что практически совпадает с датой обнаружения вредоноса экспертами VBA. Также сообщает, что ЛК заблокировала для своих продуктов подпись Реалтека через сервис KSN. Это означает, что KAV/KIS 2009 и выше не доверяют этой подписи Реалтек.
15 июля компания "Лаборатория Касперского" публикует новую часть исследования: securelist.com В третье части Алекс рассказывает о распространении вредоноса Stuxnet (такое название он получил) в мире, согласно данным KSN. В записи конкретные цифры, георгафия и предположения. Также появляется ответ на вопрос, почему "мирт и гуава".
16 июля широко известный в узких кругах Sp0raw создает на Anti-Malware ветку обсуждения доверия подписям: anti-malware.ru Важно понимать, что сейчас наиболее популярные ОС (не только Windows) работают как раз на основе такого доверия. На основе доверия работают и многие программы. Именно это я имел в виду, говоря о том, что под ударом вся схема безопасности.
16 июля компания Microsoft публикует запись о вредоносе. Там же указано, что подпись была отозвана.
----------
Из-за ограничение на длину записи пришлось разбить ее на две. Через несколько секунд выложу вторую часть