Новый USB-троян обладает легальной подписью

Discussion in 'Мировые новости. Обсуждения.' started by aka dexter, 15 Jul 2010.

  1. aka dexter

    aka dexter Elder - Старейшина

    Joined:
    23 Jun 2006
    Messages:
    536
    Likes Received:
    774
    Reputations:
    74
    Эксперты антивирусной компании из Белоруссии "ВирусБлокАда" сообщили об обнаружении новой троянской программы, имеющей две необычные отличительные особенности. Во-первых, она распространяется через USB-накопители новым способом, а во-вторых, вредонос имеет легальную цифровую подпись компании Realtek.

    Традиционный способ распространения Windows-вирусов через флешки использует файл автозапуска autorun.inf. Таким умением, к примеру, обладает великий и ужасный Conficker, который уже второй год то и дело устраивает переполохи в различных локальных сетях.

    Новый же троянец использует уязвимость в обработке lnk-файлов, то есть файлов-ярлыков. Как сообщают белорусские специалисты, "пользователю достаточно открыть инфицированный накопитель в Microsoft Explorer или в любом другом файловом менеджере, который умеет отображать иконки в lnk-файлах (к примеру, Total Commander), чтобы произошло заражение системы, и вредоносная программа получила управление".

    При заражении компьютера в систему внедряются два sys-файла, которые призваны скрывать присутствие заражённых файлов в системе и на сменном накопителе. Особенность этих "драйверов" состоит в том, что они подписаны цифровой подписью компании Realtek Semiconductor Corp.

    Эксперт "Лаборатории Касперского" Александр Гостев проверил эту подпись на сайте Verisign и выяснил, что такой сертификат действительно был выдан на имя Realtek. Однако этот сертификат перестал действовать 12 июня. Примерно тогда же, 17 июня, вредонос впервые попал в поле зрения специалистов "ВирусБлокАда". Между тем, вредоносные файлы были подписаны ещё 25 января, в связи с чем Гостев высказывает гипотезу, что именно из-за этой подписи вирус "столь долгое время был «невидим» для антивирусных решений".

    "Все эти факты указывают на то, что в данном случае мы имеем дело с ситуацией, когда действительно кто-то обладающий возможностью подписывать файлы подписью от Realtek – сделал это: подписал троянца", — считает Гостев.

    Эксперт "Лаборатории Касперского" не взялся строить более конкретные предположения на этот счёт, но, очевидно, имеется два наиболее вероятных варианта: либо у вирусописателей имеется или имелся инсайдер в Realtek, либо они ухитрились пролезть в компьютерную сеть компании. Точнее может сказать только расследование при участии Realtek, однако здесь пока не отреагировали на уведомление, отправленное им специалистами "ВирусБлокАда".

    Что до уязвимости в обработке lnk-файлов, то Гостев также не исключает, что "это не баг, это фича", как было и в случае с AutoRun. Microsoft также получил извещение о проблеме, так что, "вероятно, в ближайшие дни мы узнаем истину", говорит Гостев.

    В "Лаборатории Касперского" новый троянец получил название Stuxnet.

    Источник: http://webplanet.ru/news/security/2010/07/15/stuxnet.html
    Дата: 15.07.2010 12:38
     
  2. Skiper95

    Skiper95 New Member

    Joined:
    21 Sep 2009
    Messages:
    0
    Likes Received:
    3
    Reputations:
    -5
    Стухнет :D
     
  3. 0ldbi4

    0ldbi4 Elder - Старейшина

    Joined:
    14 Apr 2008
    Messages:
    264
    Likes Received:
    51
    Reputations:
    10
    Точно стухнет(вернее пропадет) у кого что есть по этой "баге"?
     
  4. neprovad

    neprovad Elder - Старейшина

    Joined:
    19 Oct 2007
    Messages:
    900
    Likes Received:
    274
    Reputations:
    59
    Чтоб ответить наверняка требуется получить в руки экземпляр трояна
     
  5. ZodiaC

    ZodiaC Banned

    Joined:
    15 Jul 2010
    Messages:
    3
    Likes Received:
    1
    Reputations:
    0
    Всё просто. Ярлык запрашивает данные из инета
     
Loading...