Вирус Flame для распространения использует Windows Update

image

Теги: Flame, Лаборатория Касперского, Windows Update

Flame выдает зараженную машину локальной сети за прокси сервер Windows Update и осуществляет атаку «человек по середине».

«Лаборатория Касперского» сообщила о том, что шпионская программа Flame, которая активно используется для сбора важных данных компьютерных систем Ближнего Востока, при заражении хостов внутри локальной сети выдает себя за прокси-сервер службы Windows Update, осуществляя, таким образом, атаку «человек посередине». Ранее большинство экспертов склонялись к тому, что вирусописатели вооружили Flame эксплоитом к уязвимости нулевого дня, так как эта вредоносная программа поражала даже полностью обновленные версии Windows 7.

Напомним, что вчера корпорация Microsoft выпустила обновление безопасности, в котором отозвала ряд сертификатов, используемых Flame для подписи программных модулей.

По данным ЛК, модули, получившие название Gadget и Munch, ответственны за распространение вируса по локальной сети. «Когда машина пытается установить соединение с Microsoft Windows Update, ее соединение перенаправляется на зараженную систему, которая отправляет клиенту ложное вредоносное обновление Windows», - отметил в блоге антивирусной компании Александр Гостев.

Это ложное обновление содержит несколько файлов, среди которых отмечается WuSetupV.exe – имеющий цифровую подпись Microsoft, что позволяет ему запускаться без подтверждения пользователя. Программа, впоследствии, загружает Flame на скомпрометированную систему.

«Перехват запроса к официальному серверу Windows Update (атака «человек посередине») осуществляется путем объявления зараженной машины прокси-сервером домена. Это выполняется через WPAD. Для того чтобы поразить систему, ее настройки System Proxy должны быть установлены на Auto» - отмечает эксперт ЛК.

Исследователь также подчеркнул, что хотя распространение внутри локальной сети осуществляется путем подмены сервера службы Windows Update, заражение первого хоста в системе вполне может осуществляться через уязвимость нулевого дня, и подобную вероятность списывать со счетов нельзя.

Вирус Flame был обнаружен в ходе проведения расследования «Лаборатории Касперского» по запросу Международного союза электросвязи (МСЭ). МСЭ обратился за помощью в обнаружении неизвестного вируса, удаляющего важную информацию с компьютеров различных предприятий в странах Ближнего Востока. К МСЭ, в свою очередь, обратились власти Ирана, сообщив о том, что в конце прошлого месяца из базы данных нефтяной компании исчезла важная информация.

С уведомлением Александра Гостева можно ознакомиться здесь.


или введите имя

CAPTCHA
Печкин
05-06-2012 14:00:36
Вот это выход из-за печки, и win update по абузили
0 |
Blunder
06-06-2012 23:06:57
Элегантно!!!
0 |
Kucher
07-06-2012 15:53:24
Это так же элегантно и красиво, как сделать дырку у кого-то в голове. Если кому-то такое положение вещей, как "новая пакость для соседа" кажется вполне нормальной - Бог ему судья.
0 |
stuck
19-08-2012 23:04:05
протокол WPAd галвнее DNS (( Мы все попали....
0 |
Fatou
19-11-2012 14:13:08
ГЫы я за такой пакостью к соседу подписал его так через неделю комп выкинул вообще он xD )
0 |