ESET: у червя Stuxnet появились преемники

image

Теги: eset, вредоносное ПО, уязвимость

Компания ESET сообщмла о выявлении новых вредоносных программ, использующих уязвимость в программной оболочке Windows Shell при обработке LNK-файлов (LNK/Exploit.CVE-2010-2568).

Компания ESET сообщмла о выявлении новых вредоносных программ, использующих уязвимость в программной оболочке Windows Shell при обработке LNK-файлов (LNK/Exploit.CVE-2010-2568). Также зафиксированы новые способы распространения подобных угроз.

Вирусная лаборатория ESET фиксирует постоянный рост заражений червем Win32/Stuxnet. Выполнение вредоносного кода происходит благодаря наличию уязвимости в программной оболочке Windows Shell, связанной с отображением специально подготовленных LNK-файлов.

Как и прогнозировали вирусные аналитики ESET, создание Win32/Stuxnet вызвало появление новых вредоносных программ, а также модификаций уже известного злонамеренного ПО, использующего данную уязвимость. Для обнаружения подобных угроз специалисты вирусной лаборатории ESET создали отдельный класс сигнатур - LNK/Autostart.

C помощью технологии раннего обнаружения ThreatSense.Net уже удалось выявить и другие программы, использующие уязвимость в Windows Shell. Речь идет о семействе Win32/TrojanDownloader.Chymine, которое относится к классу downloader-угроз. При установке на компьютер данная программа скачивает кейлоггер Win32/Spy.Agent.NSO, регистрирующий каждое нажатие клавиши на клавиатуре. Аналогичным образом происходит распространение трояна-downloader - Win32/Autorun.VB.RP, который также устанавливает на ПК вредоносное ПО. Кроме того, вирусными аналитиками было выявлено несколько модификаций вируса Win32/Sality, а также троянской программы Zeus, которые используют данную уязвимость. По данным ESET, Sality постоянно присутствует в десятке наиболее распространенных угроз в мире и может выполнять функции как трояна-загрузчика, так шпиона или кейлоггера. На счету Zeus миллионы зараженных компьютеров, объединенных в ботнет.

На сегодняшний день распространение угроз, использующих уязвимость в Windows Shell, осуществляется не только через USB-носители. Теперь заражение может происходить через общие сетевые папки, а также благодаря специально сформированным файлам для офисного пакета Microsoft. Кроме того, сервер злоумышленников, с которого распространяется вредоносная программа, может формировать адрес web-страницы определенного вида, посредством которого компьютер может быть атакован через браузер.

"Ежедневно мы фиксируем несколько тысяч новых заражений Win32/Stuxnet - отмечает Александр Матросов, руководитель Центра вирусных исследований и аналитики компании ESET. – При этом страдают не только промышленные предприятия, но и домашние пользователи. И в ближайшее время мы прогнозируем рост числа вредоносных программ, использующих уязвимость в программной оболочке Windows Shell при обработке LNK-файлов".


или введите имя

CAPTCHA
29-07-2010 20:56:39
как все сложно и дорогостояще. У линуксоидов таких проблем нет.. P.S. Это я не в том смысле, что винда - плохая ОС.
0 |
07518
30-07-2010 01:01:25
как все сложно и дорогостояще. У линуксоидов таких проблем нет.. а на самом деле -- маркетологи хотят чтобы мысли у тебя возникали такие: ''' как всё сложно и дорогостояще! люди работают! придумывают сложные системы! и сёравно злобные гадкие хакеры всё портят! но сёравно антивирусные компании находят ещё решения!... ...а я так жалок и ничего не понимаю во всех этих компьютерных сложностях... но ничего страшного! оставлю сложности специалистам! всё что нада -- так это всеголишь купить нужные программы, и они всё сделают! '''
0 |
Вирус
30-07-2010 08:50:12
Да че сложного то...??? Это все сложности для тех кто под админсокй учеткой сидит.. Если в линуксе все бы под root сидели... тоже бы все сложно было...
0 |
fix
30-07-2010 09:56:39
Коллега, есть большое количечество способо эскалации привилегий до админа. Ваш способ хорош против примитивной малвари, а вышеописанное зверье далеко не примитив.
0 |
Вирус
30-07-2010 13:35:20
Читаем процедуру заражения коллега ))) Специально сформированный ярлык заставляет Windows Shell подгрузить внешнюю динамическую библиотеку, которая выполняет произвольный код с привилегиями пользователя, запустившего Windows Explorer. Текущий вариант червя осуществляет следующие действия на системе: 1. Червь копирует себя в файлы: %System%\drivers\mrxcls.sys %System%\drivers\mrxnet.sys Некоторые образцы имеют цифровую подпись Realtek Semiconductor Corporation. 2. Регистрирует себя (mrxcls.sys) в качестве службы под названим MRXCLS. 3. Создает ключ в реестре HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls\"ImagePath" = "%System%\drivers\mrxcls.sys" 4. Регистрирует файл mrxnet.sys в качестве службы под названием MRXNET 5. Создает ключ в реестре HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNet\"ImagePath" = "%System%\drivers\mrxnet.sys" И т.д. Ключевые слова "которая выполняет произвольный код с привилегиями пользователя, запустившего Windows Explorer." Все последующие процедуры... без административных привилегий, работать не будет... не хватит прав... ни записать файлы в каталог винды ни зарегать и создать службы...
0 |
31-07-2010 01:31:21
Некоторые образцы имеют цифровую подпись Realtek Semiconductor Corporation. http://blog.eset.com/2010/07/19/win32stuxnet-signed-binaries Странно. Вот тут про JMicron написано, а не про Realtek. the file was signed with a certificate from a company called "JMicron Technology Corp".
0 |
Вирус
01-08-2010 14:34:29
Дальше дочитать религия не позволяет??? This is different from the previous drivers which were signed with the certificate from Realtek Semiconductor Corp.
0 |
29-07-2010 21:03:20
опечатка сообщмла сообщила
0 |
hm
29-09-2010 18:04:27
mlya.. cto kogo kopipastil?????)))))))))))))))) http://www.google.com/search?client=ubuntu&channel=fs&q=++%D0%9A%D0%BE%D0%BC%D0%BF%D0%B0%D0%BD%D0%B8%D1%8F+ESET+%D1%81%D0%BE%D0%BE%D0%B1%D1%89%D0%BC%D0%BB%D0%B0+%D0%BE+%D0%B2%D1%8B%D1%8F%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D0%B8&ie=utf-8&oe=utf-8
0 |
31-07-2010 16:07:57
Название у зверька классное - "Стухнет". Так что небеспокойтесь, угроза скоро исчезнет.
0 |
Дмитрий Васильевич
01-08-2010 18:39:59
Если ESET про него пишет значит его можно не бочться!
0 |