Перейти к содержанию
Hauten

Bloodhound.Exploit.324 - что за вирус такой?

Автор Hauten, в Symantec - комплексная информационная безопасность

Recommended Posts

Hauten    0

Hauten
Опубликовано

В общем, только что антивирус Симантек нашел вирус в... видеофайле (расширение avi и был на винчестере многие годы)!

Bloodhound.Exploit.324

Линк из самого антивируса ведет на страничку с описанием вируса: http://securityresponse.symantec.com/secur...-051110-0744-99

Но я плохо знаю английский, да и про сам вирус там вроде ничего не сказано.

Мне интересно как вообще может быть вирус в видеофайле? Я такое первый раз вижу и слышу.

Буду признателен за любую информацию об этом вирусе: чем он опасен, как действует и насколько вероятно что это действительно вирус (эвристический метод вроде иногда делает ошибочный вывод)?

P.s. Что странно: я зашел в папку, выделил группу файлов, среди которых этот самый видеофайл, тыкнул "проверить на вирусы" и симантек ничего не нашел. Спустя примерно одну минуту Симантек спохватывается и говорит, что при автоматическом поиске все-таки нашел его.

Скриншот:

http://s006.radikal.ru/i213/1006/ae/2946fb7459c5.jpg

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

DaTa    182

DaTa
Опубликовано

Я сам не очень знаком с форматом .avi но вирлаб Симантека утверждает что Bloodhound.Exploit.324 - это эвристический детект файлов или скриптов которые пробуют использовать уязвимость №39303(Переполнение буфера в кодеке MS MPEG Layer-3 Audio Decoder ). Скорее всего что при компиляции файлов даного формата есть возможность вмонтировать вредоносный скрипт либо какая то другая причина приводит к переполнению буфера при проигрывании даного файла. Для начала я бы посоветовал поставить последние апдейты к даному кодеку(должны быть доступны на сайте Microsoft), если проблема не будет исправлена то тогда советую обратится непосредственно в вирлаб Симантека по поводу FP(скорее всего).

  • Upvote 5

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Hauten    0

Hauten
Опубликовано
Я сам не очень знаком с форматом .avi но вирлаб Симантека утверждает что Bloodhound.Exploit.324 - это эвристический детект файлов или скриптов которые пробуют использовать уязвимость №39303(Переполнение буфера в кодеке MS MPEG Layer-3 Audio Decoder ). Скорее всего что при компиляции файлов даного формата есть возможность вмонтировать вредоносный скрипт либо какая то другая причина приводит к переполнению буфера при проигрывании даного файла. Для начала я бы посоветовал поставить последние апдейты к даному кодеку(должны быть доступны на сайте Microsoft), если проблема не будет исправлена то тогда советую обратится непосредственно в вирлаб Симантека по поводу FP(скорее всего).

Т.е. максимально возможный ущерб от этого вируса - переполнение буфера обмена? Какие могут быть последствия: зависание системы или что-то более серьезное? Может ли скрипт с помощью этой уязвимости стащить пароли и т.п.?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

DaTa    182

DaTa
Опубликовано
Т.е. максимально возможный ущерб от этого вируса - переполнение буфера обмена? Какие могут быть последствия: зависание системы или что-то более серьезное? Может ли скрипт с помощью этой уязвимости стащить пароли и т.п.?

В зависимости от типа и версии вашей ОС скачайте соотв. обновление перейдя на следующую страницу: http://www.securityfocus.com/bid/39303/solution

По поводу даной уязвимости: скорее нет чем да. Само по себе переплнение буфера, в чистом виде, в любой программе ведет непосредственно к нестабильной работе и в конечном итоге заканчивается критическим завершением(e.g exception). Если программа оперирует с какими то даными то скорее всего они(или их изменения) будут безвозвратно утеряны.

Хотя на сайте Майкрософта пишут что через эту уязвимость злоумышленик может получить полный контроль над системой. Все таки я бы посоветовал установить даный патч от ,Ммайкрософт.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Hauten    0

Hauten
Опубликовано
В зависимости от типа и версии вашей ОС скачайте соотв. обновление перейдя на следующую страницу: http://www.securityfocus.com/bid/39303/solution

По поводу даной уязвимости: скорее нет чем да. Само по себе переплнение буфера, в чистом виде, в любой программе ведет непосредственно к нестабильной работе и в конечном итоге заканчивается критическим завершением(e.g exception). Если программа оперирует с какими то даными то скорее всего они(или их изменения) будут безвозвратно утеряны.

Хотя на сайте Майкрософта пишут что через эту уязвимость злоумышленик может получить полный контроль над системой. Все таки я бы посоветовал установить даный патч от ,Ммайкрософт.

Спасибо большое за помощь!

Уже скачал обновление, буду ставить. )

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Андрей-001    1099

Андрей-001
Опубликовано
Мне интересно как вообще может быть вирус в видеофайле? Я такое первый раз вижу и слышу.

Проще говоря, эта проблема связана с подвисанием компьютера, даже на самой современной системе, когда ты открываешь папку с видеофайлами, при включенном отображении её содержимого как "Эскизы страниц". Может быть не только подвисание, но и вывод извещения типа "память не может быть прочитана". Раньше просто приходилось или устанавливать кодеки начисто или методом тыка находить сбойный фильм и удалять его.

Но файл, если он очень нужен, ещё можно вернуть. В главном окне программы кликните на "Карантин", в списке обнаруженного найдите свой файл и в правой части окна кликните на "Параметры". Дальнейшие действия должны быть понятны. Скриншот прилагаю.

b5d1e82ca27ft.jpg

Потом остаётся только добавить этот файл в "Исключения": Главное окно - Параметры - Исключения/Исключения из сканирования - Настроить - выбрать нужный файл. По окончании - обязательно "Применить" и ОК.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Symantec - комплексная информационная безопасность

  • Сообщения

    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      Добавить в меню команды: Блокировать запуск файла по: [MinimumStackCommitInBytes] Снять блокировку [MinimumStackCommitInBytes] установленную uVS - [1077777777] Полностью снять блокировку [MinimumStackCommitInBytes] -  [?ХХХХХХХХ?] ---------- Пример: Блокировать запуск файла по: [MinimumStackCommitInBytes] IFEO\mediaget.exe: [MinimumStackCommitInBytes] 1077777777 IFEO\PowwerTool.exe: [MinimumStackCommitInBytes] 1077777777 -------- Команда: Проверить реестр и доступные копии реестра ( с возможностью указать копию ) на IFEO -  [MinimumStackCommitInBytes] Команда: Проверить реестр и доступные копии реестра ( а тут можно подумать, на что ещё можно проверить копию )
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      В том году была статья : по поводу MinimumStackCommitInBytes https://www.trendmicro.com/en_in/research/23/e/attack-on-security-titans-earth-longzhi-returns-with-new-tricks.html Похоже и у нас начали активно это применять. https://forum.kasperskyclub.ru/topic/465310-slovil-majner-kogda-skachival-obhod-blokirovki-diskorda/ https://www.cyberforum.ru/viruses/thread3189071.html?ysclid=m4x30zzs6v421256067  
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      И не должен работать, такое удалять разрешено только вручную.
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      Ошибка получения XML описания задачи: \Microsoft\Windows\SoftwareProtectionPlatform\SvcRestartTask  [Error: 0x80041321 - Образ задачи поврежден или изменен. ] Соответственно на такие случаи команда: (Alt+Delete) не работает. https://vms.drweb.ru/virus/?i=27169926
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      Предлагаю добавить в settings.ini - настройку: Передавать статистику удаляемых файлов. Для чего ? Когда статистика будет накоплена ( и проанализирована ) то можно будет применить команду: 1) Обнаружить угрозы - исходя из данных статистики 2) Создать автоскипт на базе общей операционной статистки 3) Создать автоскипт на базе моей статистики. Файл\ы данных доступны - как при обращении к серверу - так и локально. ----- % 70 скрипта - Это всё одно и тоже... Так чего мучить Оператора, если минимум % 70 скрипта можно генерировать автоматически,  а стальное он сам допишет. А то автоскрипт есть - а пользуется этим три человека. ------- Кроме того - та же история и с FRST - можно создать автоматический _помощник который будет например в Notepad++ помечать ( на базе статистики ) закладкой все типичные удаляемые объекты. Ведь не единым uVS жив человек ?  
×