Uwaga na pendrive'y! Nowy trojan atakuje Windows 7

15-07-2010, 14:53

Rozprzestrzenia się za pomocą przenośnych pamięci USB, ale w dość nietypowy sposób - zamiast funkcji Autorun wykorzystuje nieznaną dotąd lukę w obsłudze skrótów .lnk. Żeby doszło do infekcji, wystarczy wyświetlić zawartość pendrive'a przy użyciu menedżera plików, takiego jak Windows Explorer czy Total Commander.

O wykryciu nowego złośliwego oprogramowania, nazwanego Trojan-Spy.0485 i Malware-Cryptor.Win32.Inject.gen.2, poinformowali pod koniec ubiegłego tygodnia specjaliści białoruskiej firmy antywirusowej VirusBlokAda. Po przedostaniu się z pendive'a na dysk szkodnik instaluje sterowniki mrxnet.sys i mrxcls.sys, rozpoznawane odpowiednio jako Rootkit.TmpHider i SScope.Rookit.TmpHider.2.

Co ciekawe, oba pliki zostały cyfrowo podpisane przez firmę Realtek Semiconductor Corp., dlatego najprawdopodobniej przez ponad pół roku unikały wykrycia przez oprogramowanie zabezpieczające. Jak ustalił Alexander Gostev z firmy Kaspersky Lab, sterowniki podpisano 25 stycznia br., certyfikat wygasł 12 czerwca - mniej więcej wtedy do laboratoriów antywirusowych trafiły pierwsze próbki tego zagrożenia.

Redaktorzy serwisu Niebezpiecznik.pl zwracają uwagę, że szkodnik przeszukuje system pod kątem oprogramowania Siemens WinCC SCADA, wykorzystywanego do sterowania procesami w dużych systemach przemysłowych. Na tej podstawie analitycy wysnuli wniosek, że trojan mógł zostać stworzony do celów szpiegowskich.

>> Czytaj też: Microsoft: Pakiet poprawek i pierwsza beta SP1 dla Windows 7

W innym artykule na dany temat Alexander Gostev podaje, że w ciągu ostatnich czterech dni system Kaspersky Security Network wykrył ponad 16 tys. komputerów zainfekowanych tym szkodnikiem (używane przez tę firmę nazwy to Trojan-Dropper.Win32.Stuxnet i Rootkit.Win32.Stuxnet).

Najwięcej zarażonych maszyn odnotowano w Indiach, Iranie oraz Indonezji - w każdym z tych państw liczba zarejestrowanych incydentów przekroczyła 5 tys. Dla porównania, w Rosji było ich około 150, a wChinach zaledwie 5. Specjalista uważa, że źródłem infekcji mogą być Indie.

Gigant z Redmond został już poinformowany o podatności. Jak serwisowi Krebs on Security powiedział Jerry Bryant, menedżer z Microsoft Security Response Center, luka jest badana, nie wiadomo jednak, kiedy można się spodziewać odpowiedniej łatki.

>> Czytaj też: Secunia: Apple ma najbardziej dziurawe oprogramowanie


Źródło: VirusBlokAda, Kaspersky Lab, Niebezpiecznik.pl
  
znajdź w serwisie

RSS  
RSS  
RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Grudzień 2019»
PoWtŚrCzwPtSbNd
 1
2345678
9101112131415
16171819202122
23242526272829
3031