WannaCryはなんとか有名になり、世界の人々の文盲の人でさえどこかで何かを聞き、少なくとも情報セキュリティに何らかの関係がある人は、トロイの木馬とそのFAQに関する多くの研究を徹底的に研究することができました。 マルウェアについてはまだあまり注目されていないため、最初のトロイの木馬スーパースターがいます。 そして、この人気はすでに結果をもたらしています。
最も怠laな管理者でさえ、インターネット(何らかの理由で開いていた)からのポート445へのアクセスをブロックし、更新をロールアップしました。多くの一般ユーザーが同じことを行いましたが、当社と英国の再販業者はいくつかのWannaCryバリアントの停止ドメインを同期ロックしましたが、流行はまだ完全に停止していません。 今では 、非常に進取の気性に富んだ人が外出先でこの電車に固執し、かなりのお金を集めようとしていることがわかりました。
RiskSenseのSean Dillon氏は、WannaCryのいくつかの新しいバージョンを公開したと述べました。これらはオリジナルとほとんど同じですが、
優れたビジネススキーム:何もする必要はありません。サンプルを修正してリリースするだけで、独自に世界中に提供されます。 EternalBlue + DoublePulsarおよびそれ以降、何もそれらを停止しません。 身代金を支払った後でも、このWaveの被害者はファイルを受け取りません。結局のところ、ウォレットの所有者はファイルを復号化するためのキーを持っていません。 原則として、これは大声でビットコインで牧場主のビジネスをサポートしたい人にとっては良い教訓ですが、この準ウォンカクレイによる被害は非常に深刻です。
HPオーディオドライバーで見つかったキーロガー
これがニュースです。 HewlettとPackardが製造した一部のコンピューターにインストールされたConexantオーディオドライバーは、ユーザーがキーボードで押したすべてをログに書き込み、ログはそれをC:\ Users \ Public \ MicTray.logにきちんと書き込みます。 何も暗号化しません。
通常、警備員は「誰が責任を負うべきか」および「何をすべきか」という質問についてほとんどのパズルを解きますが、今回は「なぜ?!」という質問がより適切です。 その理由は、最もばかげていることが判明しました。したがって、開発者はホットキーを押したときにデバッグ段階でバグをキャッチしましたが、切断するのを忘れていました。
この「機能」を備えたモデルのリストは非常に広範囲です。
- HP EliteBook 820 G3ノートブックPC
- HP EliteBook 828 G3ノートブックPC
- HP EliteBook 840 G3ノートブックPC
- HP EliteBook 848 G3ノートブックPC
- HP EliteBook 850 G3ノートブックPC
- HP ProBook 640 G2ノートブックPC
- HP ProBook 650 G2ノートブックPC
- HP ProBook 645 G2ノートブックPC
- HP ProBook 655 G2ノートブックPC
- HP ProBook 450 G3ノートブックPC
- HP ProBook 430 G3ノートブックPC
- HP ProBook 440 G3ノートブックPC
- HP ProBook 446 G3ノートブックPC
- HP ProBook 470 G3ノートブックPC
- HP ProBook 455 G3ノートブックPC
- HP EliteBook 725 G3ノートブックPC
- HP EliteBook 745 G3ノートブックPC
- HP EliteBook 755 G3ノートブックPC
- HP EliteBook 1030 G1ノートブックPC
- HP ZBook 15u G3モバイルワークステーション
- HP Elite x2 1012 G1タブレット
- トラベルキーボード付きHP Elite x2 1012 G1
- HP Elite x2 1012 G1アドバンストキーボード
- HP EliteBook Folio 1040 G3ノートブックPC
- HP ZBook 17 G3モバイルワークステーション
- HP ZBook 15 G3モバイルワークステーション
- HP ZBook Studio G3モバイルワークステーション
- HP EliteBook Folio G1ノートブックPC
誰かがずっと前にこれを見つけて、それを下手な目的に使用している可能性があります。 ConexantとHP自体の発見に対する反応はゼロでした。問題を発見したModZeroのTorZhen Schroederが彼らに連絡を取ろうとしたとき、彼はそこからもそこからも返事を受け取りませんでした。 彼は「脆弱性」の説明と概念実証を公開しなければなりませんでした。
しかし、それらは何らかの形で特定の方法で移動しました。ドライバーのキーボードロギング機能はそのままで、レジストリのキーによってのみオフにされました。 ModZeroは、素晴らしいHPコンピューターのユーザーにアップデートを期待せず、単に実行可能ファイルC:\ Windows \ System32 \ MicTray64.exeを強打することを提供します。もちろん、ボタンからのサウンド、ログ自体を制御する機能を犠牲にします。
Chromeの脆弱性により資格情報が盗まれる
ニュース 。 研究 最新の更新プログラムと最新バージョンのChromeを搭載したWindows 10が悪意のある悪用サイトからユーザーを保護していると思われる場合は、...そうですね。 DefenseCodeが最も人気のあるブラウザーを介して巧妙な攻撃を思いついたので、そのように考えるのを止めてください。
ポイントはソフトウェアのエラーではなく、設定のエラーです。デフォルトでは、Chromeは安全と見なされるWebサイトからファイルをダウンロードする許可リクエストをダウンロードしません。 そして、すべては何もないようです-彼はそれらを起動しません-しかし、SCF、Explorerコマンドファイルは安全としてリストされています。 これらは2つのセクションを含むテキストファイルです。1つのコマンドは起動時に実行され、別のパスはファイルアイコンになります。 そして今、エクスプローラーはユーザーにプロンプトを表示せずに、アイコンを自動的に取得しようとしています。 ただし、インターネット上のどこかにあるネットワークパスになる可能性があります。
繰り返しますが、Explorerは単にアイコンをロードしようとしており、実行しようとしていないため、何が危険なのでしょうか。 SMBサーバーにログインしようとしているだけで、ユーザーにログイン、ドメイン、およびNTLMv2パスワードハッシュを提供しています。 したがって、ハッカーはパスワードを解読しようとすることができます(単純なパスワードには数時間かかります)。NTLMv2を使用する外部サービス(Exchangeサーバーなど)でこのデータを使用してログインするか、侵害されたネットワーク内で使用して特権を昇格させることができます。 Windows 8/10のユーザーがMicrosoftアカウントでログインすると、OneDrive、Outlook.com、Office 365、Office Online、Skype、Xbox Liveのアカウントが侵害される可能性があります。
Chrome設定で必須のリクエストを設定して、ダウンロードする前にファイルを保存することにより、このような攻撃から身を守ることができます。 DefenseCodeに示されている他のブラウザーは、SCFファイルを自動的にロードしません。
古物
「V-944」
非居住の危険なウイルス。 現在のディレクトリおよびデフォルトでCOMSPECでマークされたディレクトリの.COMファイルに感染します。 int 16h(キーボード)をフックし、キーボードから入力された文字に応じて、画面の25行目に沿って右から左、および後ろにマグ記号(ASCII 1)を起動します。 顔の動きには、ざわめきが伴います。 int 16hでは十分にハードで、システムを「ハング」させる可能性があります。 読み取り専用属性を削除し、ファイル時間を62秒に設定します。
Eugene Kaspersky著の本「MS-DOSのコンピューターウイルス」からの引用。 1992年。 89ページ
免責事項:このコラムは、著者の個人的な意見のみを反映しています。 カスペルスキーの位置と一致する場合もあれば、一致しない場合もあります。 ここは幸運です。