Rozprzestrzenia się za pomocą przenośnych pamięci USB, ale w dość nietypowy sposób - zamiast funkcji Autorun wykorzystuje nieznaną dotąd lukę w obsłudze skrótów .lnk. Żeby doszło do infekcji, wystarczy wyświetlić zawartość pendrive'a przy użyciu menedżera plików, takiego jak Windows Explorer czy Total Commander.

O wykryciu nowego złośliwego oprogramowania, nazwanego Trojan-Spy.0485 i Malware-Cryptor.Win32.Inject.gen.2, poinformowali pod koniec ubiegłego tygodnia specjaliści białoruskiej firmy antywirusowej VirusBlokAda. Po przedostaniu się z pendive'a na dysk szkodnik instaluje sterowniki mrxnet.sys i mrxcls.sys, rozpoznawane odpowiednio jako Rootkit.TmpHider i SScope.Rookit.TmpHider.2.

Co ciekawe, oba pliki zostały cyfrowo podpisane przez firmę Realtek Semiconductor Corp., dlatego najprawdopodobniej przez ponad pół roku unikały wykrycia przez oprogramowanie zabezpieczające. Jak ustalił Alexander Gostev z firmy Kaspersky Lab, sterowniki podpisano 25 stycznia br., certyfikat wygasł 12 czerwca - mniej więcej wtedy do laboratoriów antywirusowych trafiły pierwsze próbki tego zagrożenia.

Redaktorzy serwisu Niebezpiecznik.pl zwracają uwagę, że szkodnik przeszukuje system pod kątem oprogramowania Siemens WinCC SCADA, wykorzystywanego do sterowania procesami w dużych systemach przemysłowych. Na tej podstawie analitycy wysnuli wniosek, że trojan mógł zostać stworzony do celów szpiegowskich.

W innym artykule na dany temat Alexander Gostev podaje, że w ciągu ostatnich czterech dni system Kaspersky Security Network wykrył ponad 16 tys. komputerów zainfekowanych tym szkodnikiem (używane przez tę firmę nazwy to Trojan-Dropper.Win32.Stuxnet i Rootkit.Win32.Stuxnet).

Najwięcej zarażonych maszyn odnotowano w Indiach, Iranie oraz Indonezji - w każdym z tych państw liczba zarejestrowanych incydentów przekroczyła 5 tys. Dla porównania, w Rosji było ich około 150, a wChinach zaledwie 5. Specjalista uważa, że źródłem infekcji mogą być Indie.

Gigant z Redmond został już poinformowany o podatności. Jak serwisowi Krebs on Security powiedział Jerry Bryant, menedżer z Microsoft Security Response Center, luka jest badana, nie wiadomo jednak, kiedy można się spodziewać odpowiedniej łatki.

 

Źródło: Dziennik Internautów 

Komentarze

Dodaj nowy

3.26 Copyright (C) 2008 Compojoom.com / Copyright (C) 2007 Alain Georgette / Copyright (C) 2006 Frantisek Hliva. All rights reserved."