Архив

Hewlett-Packard заразила своих пользователей Windows-вирусом

Как сообщило японское информационное агентство Nikkei Business Publications (NBP) (http://www.nikkeibp.asiabiztech.com/wcs/leaf?CID=onair/asabt/news/121743), в период с 17 по 19 декабря 2000 года около 1500 пользователей загрузили с web сайта японского отделения одного из крупнейших производителей компьютерного оборудования Hewlett-Packard (HP) программы, зараженные Windows-вирусом FunLove.

Вирус, впервые обнаруженный еще в ноябре 1999 г., по всей видимости, попал в корпоративную систему от одного из субподрядчиков австралийского отделения компании, которое занимается разработкой программ. Во избежание повторения подобных инцидентов, HP приняла решение перевести сервера австралийского отделения с операционной системы Linux на Windows NT Server. Причиной такого решения, по словам официальных лиц компании, является невозможность осуществлять эффективную антивирусную проверку содержимого сервера, поскольку на данный момент не существует антивирусных программ для Linux, которые автоматически, в масштабе реального времени сканируют все используемые файлы. Как сообщается, факт отсутствия соответствующей защиты от вирусов и стал причиной проникновения FunLove на web сайт HP.

Необходимо отметить, что этот инцидент был бы невозможен, если бы HP использовал антивирусный монитор, входящий в поставку Антивируса Касперского для Linux. Монитор позволяет перехватывать в режиме реального времени файловые операции (запись, открытие и инициализацию объектов) и автоматически производить проверку на вирусы. Помимо монитора, пакет также включает антивирусный сканер для проверки файлов «по-требованию», антивирусный демон (сканер с оптимизированной системой загрузки в память), систему автоматической загрузки ежедневных обновлений антивирусной базы через Интернет, а также удобную интерактивную систему настройки. Серверная версия «Антивируса Касперского» для Linux также содержит готовое решение для интеграции системы централизованной антивирусной проверки всей почтовой корреспонденции, проходящей через почтовые шлюзы Sendmail и Qmail.

Как говорится в сообщении NBP о произошедшем инциденте, FunLove представляет собой абсолютно безобидный вирус, единственным проявлением которого является увеличение размера зараженных файлов. Вместе с тем, от внимания специалистов HP ускользнул ряд других опасных побочных действий этого вируса. FunLove модифицирует ядро Windows NT так, что отключается проверка вводимых пользователем паролей: вне зависимости от введенного пароля система принимает его как правильный и допускает пользователя к работе с защищенными ресурсами. Кроме того, вирус отключает на зараженных компьютерах разграничение доступа ресурсов Windows NT. Таким образом, любой пользователь, даже не имеющий прав администратора, может беспрепятственно полный доступ к ресурсам компьютера. Для нейтрализации ответной реакции операционной системы на изменение ядра (по умолчанию, Windows NT восстанавливает все измененные файлы ядра) FunLove также отключает встроенный контроль целостности системы.

Техническое описание вируса FunLove.

Hewlett-Packard заразила своих пользователей Windows-вирусом

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике