Уязвимость Windows. Новый тип USB-троянов. Заражение через lnk-файлы

Эксперты антивирусной компании сообщили об обнаружении новой троянской программы, имеющей две необычные отличительные особенности. Во-первых, она распространяется через USB-накопители новым способом, а во-вторых, вирус имеет легальную цифровую подпись компании Realtek.

Вирус на флешке

Традиционный способ распространения Windows-вирусов через флешки использует файл автозапуска autorun.inf. Таким умением, к примеру, обладает великий и ужасный Conficker, который уже второй год то и дело устраивает переполохи в различных локальных сетях.

Новый же троянец использует уязвимость в обработке lnk-файлов, то есть файлов-ярлыков. Как сообщают белорусские специалисты, "пользователю достаточно открыть инфицированный накопитель в Microsoft Explorer или в любом другом файловом менеджере, который умеет отображать иконки в lnk-файлах (к примеру, Total Commander), чтобы произошло заражение системы, и вредоносная программа получила управление".

Как происходит заражение вирусом

При заражении компьютера в систему внедряются два sys-файла, которые призваны скрывать присутствие заражённых файлов в системе и на сменном накопителе. Особенность этих "драйверов" состоит в том, что они подписаны цифровой подписью компании Realtek Semiconductor Corp.

Подделка цифровой подписи Windows

Эксперт "Лаборатории Касперского" Александр Гостев проверил эту подпись на сайте Verisign и выяснил, что такой сертификат действительно был выдан на имя Realtek. Однако этот сертификат перестал действовать 12 июня. Примерно тогда же, 17 июня, вредонос впервые попал в поле зрения специалистов "ВирусБлокАда". Между тем, вредоносные файлы были подписаны ещё 25 января, в связи с чем Гостев высказывает гипотезу, что именно из-за этой подписи вирус "столь долгое время был «невидим» для антивирусных решений".

"Все эти факты указывают на то, что в данном случае мы имеем дело с ситуацией, когда действительно кто-то обладающий возможностью подписывать файлы подписью от Realtek – сделал это: подписал троянца", — считает Гостев.

Эксперт "Лаборатории Касперского" не взялся строить более конкретные предположения на этот счёт, но, очевидно, имеется два наиболее вероятных варианта: либо у вирусописателей имеется или имелся инсайдер в Realtek, либо они ухитрились пролезть в компьютерную сеть компании. Точнее может сказать только расследование при участии Realtek, однако здесь пока не отреагировали на уведомление, отправленное им специалистами "ВирусБлокАда".

lnk-файл для заражения вирусом

Что до уязвимости в обработке lnk-файлов, то Гостев также не исключает, что "это не баг, это фича", как было и в случае с AutoRun. Microsoft также получил извещение о проблеме, так что, "вероятно, в ближайшие дни мы узнаем истину", говорит Гостев.

В "Лаборатории Касперского" новый троянец получил название Stuxnet.

Ваша оценка: Нет Средняя оценка: 5 (2 votes)
11
pomodor

Есть предложение "вводную информацию" переносить из начала статьи в конец. Попробую аргументировать. :) Первые несколько абзацев составляют teaser (анонс), который входит в RSS и читателю легче принять решение стоит ли открывать страницу на основе именно нескольких первых абзацев, а не на основе данных о том кем опубликовано, где и когда.

Теперь по существу вопроса. Ставьте Linux и не парьтесь. :)

Ваша оценка: Нет Средняя оценка: 4 (1 vote)
a

Интересно много народу носит lnk на флешке вместо документов.

Ваша оценка: Нет
9
comrade

Бывает и такое! ;-)))
____________
Но тут, как я понял, линк вирусом и создаётся при заражении флешки.
А на следующем компьютере даже щёлкать по нему не надо, достаточно диск открыть в проводнике или тотале!

Ваша оценка: Нет
Отправить комментарий
КАПЧА
Вы человек? Подсказка: зарегистрируйтесь, чтобы этот вопрос больше никогда не возникал. Кстати, анонимные ссылки запрещены.
CAPTCHA на основе изображений
Enter the characters shown in the image.
Linux I класса
Linux II класса
Linux III класса
Счетчики
  • Самый популярный сайт о Linux и Windows 10
О Либератуме

Liberatum — это новости мира дистрибутивов Linux, обзоры, сборки, блоги, а также лучший сайт об Ubuntu*.