Informacija.rs - sajt o kompjuterskoj bezbednosti

188

Informacija.rs - sajt o kompjuterskoj bezbednosti

online
  • dijica  Female
  • Gazdina mezimica :P
  • Lidija Stojčić
  • doktor medicine; urednica Informacija.rs
  • Pridružio: 13 Maj 2009
  • Poruke: 2967
  • Gde živiš: Niš

argus ::Citat:Microsoft je pokušao da reši problem AutoRun opcije nakon otkrića da je ona korišćena za širenje prvobitnih verzija ozloglašenog kompjuterskog crva Stuxnet koji je napao industrijske sisteme koji su kontrolisali centrifuge u iranskom nuklearnom postrojenju Natanz

Stuxnet ne koristi autorun da bi inficirao sistem. Koristi propust u Windows Shell-u, poznat je kao LNK exploit.




Da se ne pravim pametna, jer može biti i da nisam Smile, na threatpost.com, koji je izvor ove vesti http://threatpost.com/en_us/blogs/worm-tries-autor.....ct-113012, nalazi se i ovaj link: http://threatpost.com/en_us/blogs/early-stuxnet-va.....ct-113012.
Ja sam, osim što sam plavuša, samo veb novinar, moguće je da sam se izrazila nedovoljno dobro ili tačno. Kako god, jedan od motiva Microsoft-a za patch za AutoRun jeste bio i Stuxnet. Ili grešim?



Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
rip
  • argus  Male
  • Anti Malware Fighter
    Rank 2
  • Pridružio: 27 Apr 2008
  • Poruke: 9160
  • Gde živiš: Prokuplje

Trazi se logovanje na ovim linkovima.

Ne znam koji motiv ima MS, ali znam da Stuxnet ne koristi autorun.inf kao okidac da bi se prebacio na sistem. Dovoljno je da se otvori folder koji sadrzi LNK exploit (maliciozna precica) i sistem ce biti inficiran, bez obzira koji fajl menadzer kotisnik koristi.
To je najnovija poznata metoda koju koristi malware a prenosi se preko memoriskih kartica i USB drajvova. MS je jos 2010 godine izbacio zakrpu za taj propust.

Kao sto znas, pre nekoliko meseci je otkriven Flame, koji takodje ne koristi autorun.



online
  • dijica  Female
  • Gazdina mezimica :P
  • Lidija Stojčić
  • doktor medicine; urednica Informacija.rs
  • Pridružio: 13 Maj 2009
  • Poruke: 2967
  • Gde živiš: Niš

argus ::Trazi se logovanje na ovim linkovima.


Probaj sa ovim:
http://www.symantec.com/connect/de/blogs/stuxnet-lnk-file-vulnerability


A sa stranice koju sam linkovala izdvojiću ti ovaj deo:

Citat:Security experts initially focused on Stuxnet's use of an until-then unknown flaw in the way Windows parses desktop shortcut (LNK format) files to spread from infected USBs to host systems. Microsoft published a tool to fix the LNK vulnerability in July.

However, O Murchu reveals in his blog post that the addition of the LNK exploit was a later development in the life of the worm - dating to approximately March, 2010. Earlier versions of the worm used a different method to jump from USB drives to vulnerable Windows systems, which O Murchu describes as a 'cunning' misappropriation of the AutoRun feature, a standard component on Windows systems since Windows 95 that allows application developers to dictate a series of actions that will take place when external media like CD ROMs, DVDs or USB flash drives are inserted into systems running Windows.

The Stuxnet authors did not discover a vulnerability in AutoRun, O Murchu wrote. Instead, they discovered a flaw in the way the function processes instructions from autorun.inf files. That flaw allowed the Stuxnet authors to craft an autorun.inf file that contained both legitimate AutoRun commands and the malicious executable. The finished file could be interpreted as either an executable file or as a correctly formatted autorun.inf file, O Murcho wrote. Thus the autorun.inf file would allow the USB drive to load on the Windows system, and launch the Stuxnet payload on the system, he said. If that failed, the authors also planted a bogus "Open" command on the context (or right-click) menu for the USB drive. Users who activated the context menu and clicked on the bogus Open command would launch the Stuxnet malware invisibly in the background, O Murcho wrote.

rip
  • argus  Male
  • Anti Malware Fighter
    Rank 2
  • Pridružio: 27 Apr 2008
  • Poruke: 9160
  • Gde živiš: Prokuplje

Da, pa lepo sam ja napisao Mr. Green Stuxnet koga mi danas poznajemo koristi metodu koju sam opisao.
Ranije verzije crva su koristile autorun.inf.

MSChield kompromituje i jednu i drugu metodu, pa eto, da su Iranci znali za MCS verovatno ne bi bili u problemu Mr. Green

offline
  • Peca  Male
  • Glavni Administrator
  • Predrag Damnjanović
  • SysAdmin i programer
  • Pridružio: 17 Apr 2003
  • Poruke: 23211
  • Gde živiš: Niš

lepo je i urednica napisala - "korišćena" - prošlo vreme Razz

rip
  • argus  Male
  • Anti Malware Fighter
    Rank 2
  • Pridružio: 27 Apr 2008
  • Poruke: 9160
  • Gde živiš: Prokuplje

Dobro je ona napisala, samo sam hteo da pojasnim u vezi Stuxnet-a na koji nacin se siri varijanta koju mi danas poznajemo.

offline
  • Pridružio: 27 Jul 2012
  • Poruke: 196
  • Gde živiš: Serbia

argus ::Dovoljno je da se otvori folder koji sadrzi LNK exploit (maliciozna precica) i sistem ce biti inficiran, bez obzira koji fajl menadzer kotisnik koristi.

Ne znam da li sam te dobro razumeo, ako npr imamo neki folder pod nazivom Pamela.lnk koji se nalazi u folderu Sex a sve to se nalazi na nekoj USB memoriji. Ako otvorim USB preko Total Commandera i vidim folder <DIR> Sex i kada otvorim taj folder unutra vidim folder Pamela sa ekstenzijom lnk, da li bi se vec inficirao ili do infekcije dolazi tek kada se klikne na Pamela koji je maliciozna precica.

Edit: I ne znam samo kako sam uspeo triput da pohvalim istu poruku (iznad moje), ja klikcem kao blesav a vidim nista se ne dogadja

offline
  • Research Engineer @MalwareBytes
  • Pridružio: 09 Avg 2011
  • Poruke: 15877
  • Gde živiš: Beograd

Nokia razmislja Bebee Dol

Da nije malo kasno GUZ - Glavom U Zid

online
  • dijica  Female
  • Gazdina mezimica :P
  • Lidija Stojčić
  • doktor medicine; urednica Informacija.rs
  • Pridružio: 13 Maj 2009
  • Poruke: 2967
  • Gde živiš: Niš

A ja sam posle svog poslednjeg posta, dalji tok diskusije pratila sa telefona, a touchscreen ume da mi ubije volju za životom a kamoli za kuckanjem Smile

Dakle, dragi argus Smile

Od početka sam verovala da i ti i ja ne grešimo, ali da se nismo razumeli najverovatnije. Ti si sve vreme govorio u prezentu, a ja u prošlom vremenu. Na kraju, bitno da smo se razumeli, i još važnije da se pažljivo pratimo i čitamo, jer se greške dešavaju, i pošto ja nisam sujetna, a vi dosta znate o bezbednosti računara, malverima etc., naši čitaoci neće čitati proizvoljna tumačenja, neistine i gluposti Smile

Ziveli

offline
  • Pridružio: 26 Avg 2010
  • Poruke: 10622
  • Gde živiš: Hypnos Control Room, Tokyo Metropolitan Government Building

code381 ::argus ::Dovoljno je da se otvori folder koji sadrzi LNK exploit (maliciozna precica) i sistem ce biti inficiran, bez obzira koji fajl menadzer kotisnik koristi.

Ne znam da li sam te dobro razumeo, ako npr imamo neki folder pod nazivom Pamela.lnk koji se nalazi u folderu Sex a sve to se nalazi na nekoj USB memoriji. Ako otvorim USB preko Total Commandera i vidim folder <DIR> Sex i kada otvorim taj folder unutra vidim folder Pamela sa ekstenzijom lnk, da li bi se vec inficirao ili do infekcije dolazi tek kada se klikne na Pamela koji je maliciozna precica.

Edit: I ne znam samo kako sam uspeo triput da pohvalim istu poruku (iznad moje), ja klikcem kao blesav a vidim nista se ne dogadja


Propust koji koristi Stuxnet se nalazi u kodu za prikazivanje ikone LNK fajla tako da ako i TC pokuša da prikaže istu, zarazićeš se.

Ko je trenutno na forumu
 

Ukupno su 1172 korisnika na forumu :: 33 registrovanih, 10 sakrivenih i 1129 gosta   ::   [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 3466 - dana 01 Jun 2021 17:07

Korisnici koji su trenutno na forumu:
Korisnici trenutno na forumu: Bane san, BORUTUS, Brana01, CikaKURE, dankisha, dijica, Dimitrije Paunovic, DPera, dragoljub11987, dushan, Georgius, ILGromovnik, Još malo pa deda, Karla, ladro, lord sir giga, Magistar78, mercedesamg, milenko crazy north, milutin134, royst33, sabros, Smajser, srbijaiznadsvega, Steeeefan, stegonosa, vathra, vlad the impaler, vladulns, voja64, YugoSlav, Zandar, zzapNDjuric99