Новый USB-троян обладает легальной подписью

image

Теги: троян, USB

Компания "ВирусБлокАда" сообщила об обнаружении вредоносной программы, использующей новую уязвимость для своего распространения.

Компания "ВирусБлокАда" сообщила об обнаружении вредоносной программы, использующей новую уязвимость для своего распространения.

Модули данной программы были впервые обнаружены специалистами компании "ВирусБлокАда" ( www.anti-virus.by ) 17 июня 2010 года и добавлены в антивирусные базы как Trojan-Spy.0485 и Malware-Cryptor.Win32.Inject.gen.2. В процессе анализа было обнаружено, что вирус распространяется через USB-накопители. При этом заражение происходит не известным ранее способом через файл autorun.inf, а через уязвимость в обработке lnk-файлов. Таким образом, пользователю достаточно открыть инфицированный накопитель в Microsoft Explorer или в любом другом файловом менеджере, который умеет отображать иконки в lnk-файлах (к примеру, Total Commander), чтобы произошло заражение системы, и вредоносная программа получила управление.

Получив управление, вредоносная программа заражает систему, внедряя в нее два драйвера: mrxnet.sys и mrxcls.sys. Эти файлы были добавлены в антивирусные базы соответственно как Rootkit.TmpHider и SScope.Rookit.TmpHider.2. Особенность данных драйверов состоит в том, что они подписаны цифровой подписью, сертификат на которую выдан известной компании Realtek Semiconductor Corp. (www.realtek.com). После установки драйверов происходит загрузка вредоносного кода в системные процессы, а также скрываются следы присутствия инфицированных файлов на USB-накопителе. Поэтому пользователь и не видит “лишние” файлы на флэшке.

Таким образом, данную вредоносную программу можно отнести к категории наиболее опасных, т.к. в ней используются технологии, представляющие риск для заражения многих компьютеров и начала вирусной эпидемии.


или введите имя

CAPTCHA
18-07-2010 20:37:37
Ну чтож.. можно поздравить кактусоедов сидяшищ под админской учеткой. Эх как хорошо что linux не стал и не станет в ближайшее время массовой десктопной ОС
0 |
LightDiver
19-07-2010 04:15:42
Вин8 выходит скоро. Сейчас и в семерке внезапно начнут находить кучу нехороших уязвимостей. Продавать ведь новое дерьм" нужно.
0 |
34462
24-08-2010 11:54:38
Я это слышу с двухтысячного года. Вот выйдет {XP, XP SP1, XP SP2, XP SP3, Vista, семерка, восьмерка?} - наступит всеобщая благодать и полное в человецах умиротворение. Победят все вирусы, закроют все дыры. Где, я вас спрашиваю? Как сосали кактус, так и по сей день ничего не изменилось.
0 |
Нерусь
19-07-2010 07:54:19
Похоже, что и Линукс движется в том же направлении. И вот пример: свежая OpenSuse 11.3. Во время установки появляется окно, где нужно завести учетную запись пользователя. Сделали чекбокс "Дать этой учетной записи административные права", и по умолчанию он отмечен галкой!!! А ведь это дистрибутив для обычных пользователей! Я уже молчу про Убунту с их sudo. В общем, орпеделенные подвижки в этом направлении уже сделаны.
0 |
легион
19-07-2010 08:50:16
действительно молчи про убунту с sudo. Те самые пользователи должны хоть чему то научиться прежде, чем вообще узнают про это sudo
0 |
Василий
19-07-2010 11:57:44
А чем вам sudo в Убунту не нравится? Кстати ведь не кто в убунту и не запрещает включить рут и подравить конфиг sudo
0 |
Скептик
19-07-2010 04:06:17
Странно, но вот на сайте антивируса "ВируБлокАда" о таком горячем факте ни слова. Где же и кому компания сообщила данную новость?
0 |
ответ
19-07-2010 05:59:03
есть там новость, читать внимательней надо. просто ей уже месяц исполнился
0 |
19-07-2010 13:52:15
они подписаны цифровой подписью, сертификат на которую выдан известной компании Realtek Semiconductor Corp. (www.realtek.com). А кем они выданы, не сказано? Какую ответственность понесёт удостоверяющий центр, если это был липовый сертификат, выданный вовсе не реалтеку?
0 |
Джин
19-07-2010 21:29:14
А кто сказал, что им выдали эти сертификаты? Может быть просто взломали эту защиту?
0 |