Анализ зловреда, который использовался в атаке на Sony Pictures.
На прошлой неделе в открытый доступ попал внутренний документ ФБР, он содержит анализ вредоносной программы, с помощью которой была «поставлена на колени» компания Sony Pictures.
В описании сказано о «деструктивном зловреде, использованном неизвестными операторами». Он способен стирать все данные на заражённых компьютерах под Windows и распространяться по сети для атаки серверов под Windows. Для распространения используются встроенная в операционную систему служба обмена файлами.
Представители компании Sony Pictures охарактеризовали программу как «очень сложную», а независимые эксперты из Mandiant подтвердили, что на момент распространения она не определялась антивирусами.
После установки на компьютер программа связывается с командным сервером через интернет. Хотя следователям удалось установить сигнатуру командного трафика, но вряд ли это поможет выявить зловред, потому что подключение к C&C-серверу происходит уже после того, как начался процесс удаления файлов.
Экспертам не удалось пока установить, как происходило первоначальное заражение. При установке дроппер запускался как Windows-сервис и создавал сетевой диск с помощью переменной “%SystemRoot%”. К сетевому диску открывался доступ со всех компьютеров в локальной сети.
Потом программа запускала командную строку Windows Management Interface (WMI), чтобы распространить файлы с сетевого диска на другие компьютеры.
Анализ зловреда Trojan.Win32.Destover.a опубликован в базе Malwr. В соответствии с ним, дроппер связывался с несколькими IP-адресами, вероятно, расположенными в Японии (возможно, это связано с расположением штаб-квартиры Sony).
Дроппер устанавливал файл, схожий по названию с Internet Information Server (IIS), iissrv.exe, который прослушивал TCP/IP на порту 80 и в реальности является миниатюрным веб-сервером. Именно он показывал на экране картинку JPEG и текст во время удаления файлов.
В определённый момент (возможно, по указанию от C&C-сервера) запускался файл igfxtrayex.exe, который и осуществлял удаление файлов сектор за сектором, предварительно связавшись с несколькими IP-адресами в Италии, Таиланде и других странах (вероятно, это адреса взломанных VPN и прокси). После удаления файлов с помощью дискового драйвера EldoS компьютер уходил в спящий режим на два часа, после чего перезагружался.
Специалисты предупреждают, что перед такой атакой уязвимы все компании, которые используют серверы под Windows.
Комментарии
Но вот как с этим бороться? http://www.museum.ru/museum/shukshin/meetings/
Проблемма в том, что браузер принимает информацию о сайте на основе тех данных, которые отправляет ему сервер. И если сервер указывает кодировку например utf8, а сайт сделан в windows-1251 то посетитель и видит кракозябры.
Такой же эффект вызывавет неправильное указание кодировки сайта в мета-теге отвечающем за кодировку. Если в браузере выставить кодировку Russian (KO18-R), то страница данной кривой сайтины будет просматриваться нормально.
А на этом сайте,если перейти на вкладку "Фонды" - отображение читабельное.
А скриншот - с вкладки "Чтения". Получается,что сайт написан разными людьми на разных "языках"? Я в настройках ничего не меняю,просто перехожу на другую вкладку.