понедельник, 30 января 2012 г.

MS12-004 в дикой природе

В последней порции патчей от MS вышло достаточно интересное исправление MS12-004 (MIDI File Parsing Remote Buffer Overflow) для MS Media Player, которое закрывает уязвимость с возможностью удаленного исполнения кода. После прочтения бюллетеня сразу стало понятно, что это довольно действенный способ установки вредоносных программ и в ближайшем будущем этот вектор распространения может быть активно задействован. Но давайте вначале поговорим о самой уязвимости, а она, на мой взгляд, довольно интересна. Этой уязвимости подвержены все существующие ОС от MS.


Уязвимость содержится в библиотеке winmm.dll, которая реализует все необходимое для обработки MIDI файлов. Кстати сам MIDI (Musical Instrument Digital Interface) формат уходит своими корнями в далекий 1982 год. Неплохое описание самого формата есть здесь. Ключевым моментом в этой уязвимости является сам формат MIDI, а точнее две структуры MThd и MTrk, которые заполняются в памяти.


четверг, 26 января 2012 г.

Carberp, Facebook и ddos.plug

Про Carberp я уже писал ни раз, но тут опять граждане отличились интересной активностью. Во первых на прошлой неделе была замечена аналитиками из Trusteer интересная вещь, что с определенной конфигурацией Carberp стал вымогать деньги у зараженных Facebook пользователей за вход.


И причем очень настойчиво их требовал уплатить в размере 20 Euro через Ukash:


Были мысли, что быть может новая модификация какая, но нет только специальный конфигурационный файл содержащий инжекты для Facebook. Выглядит этот конфигурационный файл так:

четверг, 12 января 2012 г.

Тенденции развития буткитов за прошлый год

Прошедший 2011 год можно смело назвать годом развития сложных угроз. На протяжении всего года мы наблюдали значительный рост вредоносных программ для 64-битных платформ. Как и предполагалось в прошлом году, TDL4 (Olmarik) продолжил свое развитие, а вначале 2011 года появилась еще отдельная группа разрабатывающая семейство OImasco. Семейство OImasco, так же известное, как MaxSS и базируется на усовершенствованных/модифицированных технологиях руткитов семейства TDL и этой осенью у этой ветки появилась полноценная поддержка 64-битных систем.

Эволюцию современных буткитов можно изобразить в виде следующей схемы: