Stuxnet
#1
Отправлено 27 Сентябрь 2010 - 19:26
#2
Отправлено 27 Сентябрь 2010 - 20:14
Хотелось бы узнать что специалисты компании DrWeb думают о этой заразе? Методы лечения в т.ч модификаций. Подробности ковыряния кода вируса.
на данный момент данный вредоносное программное обеспечение детектится антивирусом. в том числе и Cureit. Если у вас еще не стоит. ставьте и запускайте проверку
#3
Отправлено 27 Сентябрь 2010 - 20:18
Червячок для промышленных систем. Метод лечения - cureit.Хотелось бы узнать что специалисты компании DrWeb думают о этой заразе? Методы лечения в т.ч модификаций. Подробности ковыряния кода вируса.
R&D www.drweb.com
#4
Отправлено 27 Сентябрь 2010 - 20:44
#5
Отправлено 27 Сентябрь 2010 - 22:00
А этот вопрос обходится всеми экспертами.Ну это то понятно. Мне интересно весь механизм действия червя рассмотрен? Что он запускает на контроллерах?
Борис А. Чертенко aka Borka.
#6
Отправлено 27 Сентябрь 2010 - 22:02
Что он запускает на контроллерах?
Обратный отсчёт
#7
Отправлено 27 Сентябрь 2010 - 23:46
Почему обратный?Что он запускает на контроллерах?
Обратный отсчёт http://forum.drweb.com/public/style_emoticons/default/wink.png
Отчёт «Stuxnet Under the Microscope»
P.S.
Русскоязычная версия отчета будет опубликована в октябре.
#8
Отправлено 28 Сентябрь 2010 - 09:36
Прекрасный объемный отчет, MAXII, классные картинки. Если Вы его прочли, ответьте товарищам, пожалуйста "Что он запускает на контроллерах?"Почему обратный?Что он запускает на контроллерах?
Обратный отсчёт http://forum.drweb.com/public/style_emoticons/default/wink.png
Отчёт «Stuxnet Under the Microscope»
P.S.
Русскоязычная версия отчета будет опубликована в октябре.
R&D www.drweb.com
#9
Отправлено 28 Сентябрь 2010 - 09:54
В отчёте не сказано, но по некоторым источникам, пожелавших остаться не названными, руткит пытается затормозить процесс активации графитовых стержней, что приводит к долгому запуску реактора и, в идеале, срабатыванию самозащиты и выключению реактора.Что он запускает на контроллерах?"[/b]
#10
Отправлено 28 Сентябрь 2010 - 10:17
Не надо флудитьВ отчёте не сказано, но по некоторым источникам, пожелавших остаться не названными, руткит пытается затормозить процесс активации графитовых стержней, что приводит к долгому запуску реактора и, в идеале, срабатыванию самозащиты и выключению реактора.Что он запускает на контроллерах?"[/b] http://forum.drweb.com/public/style_emoticons/default/wink.png
R&D www.drweb.com
#11 Guest_Artem Baranov_*
Отправлено 28 Сентябрь 2010 - 10:41
Одна из основных его особенностей, это использование четырех уязвимостей нулевого дня (соответственно, на момент выхода), часть из которых еще не закрыта. Содержит ring0 составляющую в виде двух драйверов, один из которых файловый фильтр. Анализ драйверов показал, что ничего примечательного в плане функционала там нет. Для пользователей, защищенных Dr. Web опасности не представляет.Ну это то понятно. Мне интересно весь механизм действия червя рассмотрен? Что он запускает на контроллерах?
#12
Отправлено 28 Сентябрь 2010 - 10:54
Фух, тогда можно за свой реактор не бояться. http://forum.drweb.com/public/style_emoticons/default/tongue.pngОдна из основных его особенностей, это использование четырех уязвимостей нулевого дня (соответственно, на момент выхода), часть из которых еще не закрыта. Содержит ring0 составляющую в виде двух драйверов, один из которых файловый фильтр. Анализ драйверов показал, что ничего примечательного в плане функционала там нет. Для пользователей, защищенных Dr. Web опасности не представляет.Ну это то понятно. Мне интересно весь механизм действия червя рассмотрен? Что он запускает на контроллерах?
Кстати, я только слышал про две 0-day уязвимости. Оказывается, их там аж четыре.
#13
Отправлено 28 Сентябрь 2010 - 11:53
Фух, тогда можно за свой реактор не бояться.Одна из основных его особенностей, это использование четырех уязвимостей нулевого дня (соответственно, на момент выхода), часть из которых еще не закрыта. Содержит ring0 составляющую в виде двух драйверов, один из которых файловый фильтр. Анализ драйверов показал, что ничего примечательного в плане функционала там нет. Для пользователей, защищенных Dr. Web опасности не представляет.Ну это то понятно. Мне интересно весь механизм действия червя рассмотрен? Что он запускает на контроллерах?
Все говорят про четыре зеродея, причем один из них Конфикер (MS08-067). http://forum.drweb.com/public/style_emoticons/default/wink.pngКстати, я только слышал про две 0-day уязвимости. Оказывается, их там аж четыре.
Борис А. Чертенко aka Borka.
#14
Отправлено 29 Сентябрь 2010 - 07:51
#15
Отправлено 29 Сентябрь 2010 - 09:44
Вопрос не понят. Что Вас интересует?А как же заводские скада системы? wincc например? Есть решения? Это я ради академического любопытства спрашиваю.
R&D www.drweb.com
#16
Отправлено 29 Сентябрь 2010 - 09:49
А как же заводские скада системы? wincc например? Есть решения? Это я ради академического любопытства спрашиваю.
Если SCADA работает под вендой - тогда и антивирус там может стоять. Если интересует защита PLC, то это вопрос к производителям: возможна ли аппаратная/програмная защита от чтения/изменения программ и т.д.
Личный сайт по Энкодерам - http://vmartyanov.ru/
#17 Guest_Artem Baranov_*
Отправлено 29 Сентябрь 2010 - 11:37
#18
Отправлено 29 Сентябрь 2010 - 11:38
Всё известно: ГлейдОС хочет угостить нас тортом!Интересно, что до сих пор точно не ясна его конечная цель. Есть выводы различных экспертов, но точно не ясно.
#19
Отправлено 29 Сентябрь 2010 - 11:52
#20
Отправлено 29 Сентябрь 2010 - 11:53
Линуксоиды не факт что шарят в винде. А тут - глубокое знание ОСКажется ещё никто не озвучивал версию, что stuxnet это результат теории заговора линуксоидов с целью показать опасность использования винды для контроля и управления АСУТП
Товарищ рассказывал, что на курсах повышения квалификации встретил линуксоида-админа. Тот не знал, как в винде включить показ скрытых файлов. Я не удивлен http://forum.drweb.com/public/style_emoticons/default/smile.png
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых