Kaspersky: вредоносная программа Shamoon не более чем «быстрая и грязная»

Вредоносная программа атаковала жесткие диски 30 000 рабочих станций, принадлежащих саудовской нефтяной компании Saudi Aramco. После проактивного отключения сетевых каналов система была очищена до того, как был нанесен серьезный ущерб, и «Лаборатория Касперского» считает атаку не более чем «быстрой и грязной» работой. Вредоносная программа атаковала жесткие диски 30 000 рабочих станций, принадлежащих саудовской нефтяной компании Saudi Aramco

Научный сотрудник лаборатории Дмитрий Тараканов опубликовал анализ вредоносного ПО после разделения его кода, и анализ помещает сложное кодирование, включая Stuxnet и Flame, в совершенно другую лигу.

Был сделан ряд «глупых» ошибок, в том числе с использованием некорректного сравнения дат и замены строчных букв заглавными буквами - то, что исследователь считает признаком поспешности, влияющим на эффективность атаки:

«Но вместо строки правильного формата автор вредоносных программ использовал«% S% S% d.% S »с заглавной буквой« S ». Это приводит к сбою функции« sprintf », и строка полного пути не создается. Отсутствие полного путь означает, что ни один файл не будет удален. Нет файла, нет выполнения. Таким образом, вредоносная программа Shamoon не имеет функции для запуска других программ. "

Включение изображения горящего флага в Википедии под первоначальным названием US_flag_burning.jpg считалось «преднамеренным» ключом к поиску изображения.

Это образ, который используется для перезаписи основной загрузочной записи жестких дисков, хотя последний вариант также перезаписывает 192 КБ блоков данных случайно сгенерированной информацией.

Признанный W32.Disttrack, вредоносная программа также изменяет активные разделы зараженной машины и стирает «приоритетные» файлы, помеченные как «загрузка», «документ», «картинка», музыка, видео и рабочий стол. После считывания даты «смерти» из файла .pnf и проверки очистки стеклоочиститель активируется.

Тараканов также упоминает запутанный аспект Shamoon - тот факт, что он использует законные подписанные драйверы программного обеспечения Eldos RawDisk. Сначала они думали, что это было сделано для целей переписывания, но Windows 7 предоставляет стандартный доступ пользователя без необходимости подписанного стороннего драйвера. Тем не менее, Shamoon должен работать с правами администратора в любом случае, поэтому кодирование кажется бессмысленным.

Исследователь пришел к выводу:

«У нас есть и другие подсказки о том, что люди, создавшие вредоносное ПО Shamoon, не являются высокопрофессиональными программистами, и природа их ошибок говорит о том, что они являются любителями, хотя и умелыми любителями, поскольку они действительно создали практически самореплицирующуюся вредоносную вредоносную программу.

К сожалению, мы видим, что предупреждения о вредоносном программном обеспечении, использующем легальные приложения в режиме ядра, - это не паранойя, а реальность. Разработчики драйверов должны всегда помнить, что киберпреступники и другие люди, которые создают вредоносные программы, ищут скрытые способы доступа к системному Ring0 ».

Вредоносная программа впервые попала в Aramco 15 августа. В сообщениях высказывалось предположение, что подобное нападение на базирующуюся в Катаре компанию по производству природного газа RasGas может быть совершено в Шамуне, но это еще предстоит подтвердить.

Похожие

Биллинговая программа PIT 2016/2017
Содержание БЕСПЛАТНАЯ ПРОФЕССИОНАЛЬНАЯ ЯМА ПРОГРАММА! Установите или настройте свой PIT в 3 простых шага: 1. Скачайте и установите или запустите онлайн программу 2. Заполните формы простым мастером 3. Расчеты ЯМ через Интернет или распечатать и отправить по почте. Используя программу, вы можете воспользоваться поддержкой по телефону от экспертов.
Более 2 миллионов новых сканирований на портале szukajwarchiwach.pl
... более 2000 сканов карты Кракова из коллекции Национального архива в Кракове, а также обширные коллекции файлов актов гражданского состояния из 10 архивов, которые представляют собой обширную базу знаний для специалистов по генеалогии.
Минобразования напомнило абитуриентам, без ID-карты не поступить в вуз
27 апреля 2018, пятница, 20:22 209 2018-04-27T20: 22: 00 + 03: 00 Общество 2019-07-15T04: 54: 50 + 03: 00 Украинские Новости Украинские Новости Минобразования напомнило абитуриентам, без ID-карты не поступить в вуз Поступать по свидетельству
Не удастся заменить процессор без материнской платы в ближайшее время?
... и в ближайшее время заменить большинство компонентов компьютера? Это выглядит так. Согласно последним новостям, процессоры на основе архитектуры Haswell следующего года будут последними, которые можно будет установить самостоятельно в материнскую плату. Процессоры Broadwell, которые должны появиться через два года, будут припаяны к материнской плате. Интеграция последующих элементов в CPU является нормальным процессом. Процессор
Как удалить вирус и вредоносное ПО с моего компьютера?
Обновлено: 13.11.2008 от Computer Hope Обнаружение и удаление вирусов Если вы считаете, что ваш компьютер или устройство хранения данных, например флэш-накопитель USB, заражены вирусом, лучший способ обнаружения и удаления - запустить антивирусную проверку на компьютере. Откройте свой антивирусный сканер через Windows
Библиотека в школе - Электронные журналы
возвращение Электронная газета - электронная версия традиционной журнал который читается на экране компьютера
ЕК на протесте сто тысяч. «Мы не комментируем внутреннюю ситуацию в Румынии»
Европейская комиссия молчит о протестах, которые произошли в последние дни в Румынии. - Мы не комментируем внутреннюю ситуацию, - в понедельник пресс-секретарь ЕС Кристиан Спар объяснил позицию Брюсселя. Один из журналистов попросил Спара прокомментировать антиправительственные протесты в Румынии и избить полицией одного из австрийских журналистов во время демонстрации в Бухаресте. «Что касается дела оператора камеры, важно, чтобы журналисты выполняли свои обязанности
АНТКА НЕ БЫЛА НА ДЕНЬ ВЕНЯВЫ! «Они окончательно расстались» (ТОЛЬКО С НАМИ)
Юлии Венявой скоро будет 20 лет. Учитывая, что в шоу-бизнесе всего два, нужно восхищаться упрямством, с которым он преследует свою цель. Несмотря на несколько неудач на счету, Юлька заработала себе позицию самой известной и самой высокооплачиваемой звезды молодого поколения. Все указывает на то, что Юлек избегает
Быстрая загрузка, но медленная скорость загрузки? Вот исправление.
... и вы обнаружили, что ваша скорость загрузки велика, но скорость загрузки ужасна , у меня есть для вас возможное решение. Некоторое время я боролся с этой проблемой и решил записать свои выводы в блоге на случай, если я или кто-нибудь еще столкнусь с этим в будущем. Фактически, это второй такой пост в блоге, который я пишу: пару лет назад я затронул обратную проблему и задокументировал решение в посте под названием
Лучшие антивирусные программы 2014 года - отличный тест Softonic
Как и каждый год, мы тщательно проанализировали самые популярные антивирусные программы, выпущенные в 2013 году. Мы оценили их с точки зрения уровня обнаружения вирусов, производительности и простоты использования. В нашем по сравнению с 2012 годом Бесплатные и коммерческие антивирусные программы мы оценивали отдельно. В этом году мы изменили его, и лучшая антивирусная программа 2014 года
... чем отличается от того, что уже предлагалось пользователям приложения SkyCash Przelewy24. Используя PayU дл...
... чем отличается от того, что уже предлагалось пользователям приложения SkyCash Przelewy24. Используя PayU для пополнения своего счета, вы также должны будете использовать оплату по ссылке. Тем не менее, добавленной стоимостью является возможность воспользоваться Блик , Przelewy24 в настоящее время не позволяет вам пополнять свой счет в SkyCash с помощью системы «Платежный

Комментарии

Кто будет покупать более дорогие подписки без телефона и с более длинным контрактом, чем те, что на 57 злотых?
Кто будет покупать более дорогие подписки без телефона и с более длинным контрактом, чем те, что на 57 злотых? Вы можете ожидать изменения в Heyah. Новое предложение - распродажа? Конечно, да, но, возможно, не так революционно, как может показаться. До сих пор за аналогичную подписку с неограниченными услугами у каждого оператора нужно было платить 90-100 злотых, подписав контракт на год. Nju mobile может слегка негативно повлиять на подписку ARPU, которая сейчас составляет около 60 злотых.
Потому что есть что-нибудь хуже, чем ехать на велосипеде против ветра?
Потому что есть что-нибудь хуже, чем ехать на велосипеде против ветра? Это так! Велоспорт против ветра на песке или гравии! Это важно для длинных маршрутов через степи, полупустынные районы, где ветры могут полностью сорвать планы. Мы узнали о ней в Казахстане и сразу ее полюбили. Глядя на карту, временную шкалу и маркеры силы и направления ветра, иногда просто подождите два часа или переместитесь на полдня позже, чтобы приятно провести время на велосипеде, а не со слезами на глазах. Что не
Запустите систему в BIOS и посмотрите на разъем NIC на вашей системе, светятся ли индикаторы соединения, не горят или не мигают?
Запустите систему в BIOS и посмотрите на разъем NIC на вашей системе, светятся ли индикаторы соединения, не горят или не мигают? Вы можете запустить BIOS, нажав несколько раз клавишу -F2 во время загрузки системы. Когда светятся светодиоды, система обнаруживает, что она отключает вашу сеть, и соединение установлено. Иди со мной Шаг 5 продолжение. Если светодиоды не горят, а сеть не обнаружена и отсутствует подключение к Интернету.
Не приведет ли введение хэштегов к потопу Facebook с большим количеством контента, который Facebook еще не привлек из-за специфики?
Не приведет ли введение хэштегов к потопу Facebook с большим количеством контента, который Facebook еще не привлек из-за специфики? Будут ли пользователи использовать хэштеги, как в Твиттере, отправляя много сообщений? Или, может быть, это будет эффект, известный из Инстаграма? В
В чем опасность использования полиграфа и можно ли его обмануть?
В чем опасность использования полиграфа и можно ли его обмануть? Почему они считают это устройство средневековым сегодня? Приготовьтесь удивляться и ... длинной очереди! Виртуальный мир (Нейроустройство) Виртуальная реальность, или виртуальная реальность, входит в салоны, обещая даже лучшие развлечения, чем технологии прошлого. Но разве ВР - это просто весело? Все чаще благодаря переходу в виртуальную реальность поддерживается физическая реабилитация,
Или, может быть, вы вообще об этом не думаете и сразу достаете флешку из коробки?
Или, может быть, вы вообще об этом не думаете и сразу достаете флешку из коробки? Неважно, к какой группе вы принадлежите, и вы все делаете правильно! С одной оговоркой: дьявол кроется в деталях, и вы должны знать о них Исторические возмущения Вся неразбериха имеет свои истоки в истории компьютеров. Во времена первых дисководов операционные системы обрабатывали временно подключенные носители данных, как если бы они были там все время. Это имело (и до сих пор имеет)
Не видите вариант, который вам нравится?
Не видите вариант, который вам нравится? Перейдите к следующему ближайшему и измените стили диаграммы в соответствии с вашими предпочтениями дизайна. Затем просто щелкните правой кнопкой мыши на графике и выберите Сохранить как шаблон . Назовите свой шаблон, чтобы вы могли легко найти его для похожих проектов позже. Например, «Диаграмма годового отчета» или «Диаграмма собрания по продажам» может напоминать вам, что у вас уже есть шаблон для проектов, которые вы,
Exe , а также многие другие , Не знаете, что это за услуги?
Не видите вариант, который вам нравится? Перейдите к следующему ближайшему и измените стили диаграммы в соответствии с вашими предпочтениями дизайна. Затем просто щелкните правой кнопкой мыши на графике и выберите Сохранить как шаблон . Назовите свой шаблон, чтобы вы могли легко найти его для похожих проектов позже. Например, «Диаграмма годового отчета» или «Диаграмма собрания по продажам» может напоминать вам, что у вас уже есть шаблон для проектов, которые вы,
Разве не было бы неплохо активно реагировать на сбои сайта еще до того, как клиент позвонил?
Разве не было бы неплохо активно реагировать на сбои сайта еще до того, как клиент позвонил? Это! Вы можете настроить Monit для проверки всех статусов ваших клиентских сайтов и сразу же предупредить вас, если они не работают: проверьте хост-сервер с адресом www.example.com, если произошел сбой протокола HTTP порта 80 с тайм-аутом 30 секунд, а затем выдайте предупреждение Monit может тестировать множество протоколов, а не только HTTP: проверьте хост-почтовый
Можете ли вы представить, если бы не было света «проверьте двигатель» или «тормозная жидкость»?
Можете ли вы представить, если бы не было света «проверьте двигатель» или «тормозная жидкость»? Как вы узнаете, нужна ли ваша машина быстрой настройке? Скорее всего, вы не будете знать, что вам нужна помощь, пока не стало слишком поздно, и ваша машина заглохла на аварийной полосе. К счастью, все автомобили теперь оснащены множеством сигнальных огней, поэтому вам не нужно быть мотористом, чтобы поддерживать ваш автомобиль. Но это, конечно, не тот случай с Google Ads.
7. С учетом значительных улучшений в цвете волос в последние годы, почему бы не улучшить свою короткую прическу яркой краской?
7. С учетом значительных улучшений в цвете волос в последние годы, почему бы не улучшить свою короткую прическу яркой краской? Узнайте больше о наших услуги по окрашиванию волос здесь , Прически с бахромой Еще одна тенденция в волосах, которую мы любим, это бахрома, поскольку это простой способ обновить ваш стиль. Есть так много разных полос на выбор - микро полосы, боковые полосы, щелчки, полные тупые полосы….

И в ближайшее время заменить большинство компонентов компьютера?
Кто будет покупать более дорогие подписки без телефона и с более длинным контрактом, чем те, что на 57 злотых?
Новое предложение - распродажа?
Потому что есть что-нибудь хуже, чем ехать на велосипеде против ветра?
Потому что есть что-нибудь хуже, чем ехать на велосипеде против ветра?
Запустите систему в BIOS и посмотрите на разъем NIC на вашей системе, светятся ли индикаторы соединения, не горят или не мигают?
Не приведет ли введение хэштегов к потопу Facebook с большим количеством контента, который Facebook еще не привлек из-за специфики?
Не приведет ли введение хэштегов к потопу Facebook с большим количеством контента, который Facebook еще не привлек из-за специфики?
Будут ли пользователи использовать хэштеги, как в Твиттере, отправляя много сообщений?
Или, может быть, это будет эффект, известный из Инстаграма?