Опрос
Вы участвуете в программе Windows Insider?
Популярные новости
Обсуждаемые новости

19.07.2010 09:03 | Really Fenix

Исследователи предупреждают о новом штамме компьютерных вредоносных программ, которые используют доселе неизвестные уязвимости в системе безопасности Windows - уязвимость в процессе создания ярлыков.

VirusBlokAda, антивирусная компания из Беларуссии, заявила о том, что 17 июня ее специалисты нашли два новых образца вредоносных кодов, которые способны инфицировать Windows 7 при просмотре содержимого USB-диска через Windows Explorer.

Большинство вредоносных программ, которые распространяются через USB-носители, традиционно используют Windows Autorun или Autoplay. Но, по словам исследователей VirusBlokAda, данный вирус использует уязвимость в методе обработки ярлыков (*.lnk).

Ярлыки файлов представляют собой ссылки на исполняемые файлы и, как правило, размещены на рабочем столе пользователя или в меню "Пуск". В теории ярлык ничего не делает, пока пользователь не нажимает на его иконку. Но исследователи VirusBlokAda обнаружили, что инфицированные файлы ярлыков в состоянии выполняться автоматически, если они записаны на USB-диск, который впоследствии будет открываться через Windows Explorer.

"Пользователь должен просто открыть зараженное USB-устройство через Windows Explorer или любой иной файловый менеджер, который может отображать иконки (например, Total Commander), чтобы заразить операционную систему и разрешить выполнение вредоносного ПО" - пишет Сергей Уласен, эксперт VirusBlokAda, в статье, опубликованной в этом месяце.

Уласен пишет, что вредоносная программа устанавливает два драйвера: "mrxnet.sys" и "mrxcls.sys.". Эти файлы используются для сокрытия вредоносного ПО на USB-устройстве. Интересно, что эти файлы драйвера подписаны цифровой подписью Realtek Semiconductor Corp., вполне легальной и законной компании в сфере hi-tech.

Уласен сказал, что обратился в Microsoft и в Realtek, и получил ответы от Джерри Брайанта (Jerry Bryant), руководителя группы быстрого реагирования Microsoft, который заявил следующее: "Microsoft изучает информацию о новой уязвимости, и как только мы завершим расследование, мы предпримем соответствующие меры для защиты пользователей". Microsoft, со своей стороны, уже опубликовало предварительное уведомление по поводу данной уязвимости.

Подобный метод распространения вредоносного ПО может стать весьма популярным, но даже на сегодняшний день эта угроза представляется достаточно серьезной: независимый исследователь в сфере безопасности Фрэнк Болдуин (Frank Boldewin) сказал, что он имел возможность изучить образцы вредоносного ПО, и он утверждает, что, судя по всему, вредоносный код создавался для систем Siemens WinCC SCADA или иных систем, осуществляющих контроль над крупными, распределенными системами наподобие заводов и электростанций.

"Похоже, что этот код был создан в целях шпионажа" - считает Болдуин.


Источник: http://www.krebsonsecurity.com
Перевод: Really Fenix

Комментарии

Не в сети

За нами следят спец.службы? Какой кошмар, как опасно жить.

19.07.10 09:35
0
Не в сети

Цифровая подпись Realtek уже недействительна, ее слили незадолго до окончания действия. Но сам принцип действия - интересен. Надо устранять уязвимость на уровне винды, ибо при сигнатурном детекте уже следующий перепакованный образец запросто может уже не ловиться антивирусами.

19.07.10 10:31
0
Для возможности комментировать войдите в 1 клик через

По теме

Акции MSFT
420.55 0.00
Акции торгуются с 17:30 до 00:00 по Москве
Все права принадлежат © ms insider @thevista.ru, 2022
Сайт является источником уникальной информации о семействе операционных систем Windows и других продуктах Microsoft. Перепечатка материалов возможна только с разрешения редакции.
Работает на WMS 2.34 (Страница создана за 0.078 секунд (Общее время SQL: 0.054 секунд - SQL запросов: 55 - Среднее время SQL: 0.00097 секунд))
Top.Mail.Ru