Распространение вредоносных программ вредоносных программ через Bogus Обновления Windows

2024

ЦВЕТНАЯ ЯИЧНИЦА (ПОЛНАЯ ВЕРСИЯ) И ЖЕЛЕЙНЫЙ МЕДВЕДЬ ВАЛЕРА

Пламя, массивный пакет вредоносных программ, предназначенный для компьютеров на Ближнем Востоке, распространяется с использованием поддельных обновлений Windows.

Сложная вредоносная программа, используемая неопознанным создателем для кражи информации из Ирана и его соседей, создает фиктивные сертификаты, которые позволяют ему обмануть Windows, считая, что некоторые компоненты Flame являются продуктами Microsoft.

После обнаружения проблемы с сертификатом Microsoft быстро принялась за ее решение. В воскресенье он выпустил совет по безопасности и патч, в котором отменены скомпрометированные сертификаты.

[Подробнее читайте: Как удалить вредоносное ПО с вашего ПК с Windows]

Один из способов использования сертификатов для распространения через ложные окна обновления, по словам Алексея Гостева, главного эксперта по вредоносным программам в «Лаборатории Касперского».

Гостев сказал, что при запуске Windows Update компонент Flame под названием «Гаджет» перенаправляет клиента обновления на другую зараженную машину в сети. Эта машина отправляет вредоносное обновление на первый компьютер. Вредоносная версия, исследователи безопасности отметили, что «использует поддельный сертификат Microsoft, который позволяет поддельным Windows Update запускаться на машине жертвы без каких-либо предупреждений».

Поддельный сертификат. (Предоставлено Kaspersky). Поскольку миру стало известно о пламени, компании по обеспечению безопасности выпустили обновления своих антивирусных программ для нейтрализации программы. Однако Гостев предупредил, что у Пламени могут быть некоторые трюки, встроенные в его код.

«[T] здесь все еще может быть неоткрытой уязвимостью в нулевой день, которая используется для первоначальной заражения компьютеров пламенем», - предупредил он. «Важно отметить, что начальная инфекция Flame все еще может происходить с помощью уязвимостей с нулевым днем».

Уязвимость с нулевым дном - это тот, который неизвестен поставщику программного обеспечения и сообществу безопасности до тех пор, пока он не будет обнаружен при работе вредоносного ПО "в дикой ".

В блоге, Microsoft признала, что, поскольку Flame используется в сложных атаках с таргетингом, подавляющее большинство его клиентов не подвержено риску от вредоносного ПО. Тем не менее, он сообщил, что это не является основанием для отказа от установки патча сертификата. Некоторые методы, используемые Flame, также могут быть использованы менее искушенными атакующими для запуска более распространенных атак на компьютеры вне целевой области вредоносного ПО, предупреждал он.

Следуйте за создателем независимой технологии Джоном П. Мелло-младшим и сегодня @ PCWorld в Twitter.