Новости ESET: у червя Stuxnet появились преемники
Компания ESET сообщмла о выявлении новых вредоносных программ, использующих уязвимость в программной оболочке Windows Shell при обработке LNK-файлов (LNK/Exploit.CVE-2010-2568).
Компания ESET сообщмла о выявлении новых вредоносных программ, использующих уязвимость в программной оболочке Windows Shell при обработке LNK-файлов (LNK/Exploit.CVE-2010-2568). Также зафиксированы новые способы распространения подобных угроз.Вирусная лаборатория ESET фиксирует постоянный рост заражений червем Win32/Stuxnet. Выполнение вредоносного кода происходит благодаря наличию уязвимости в программной оболочке Windows Shell, связанной с отображением специально подготовленных LNK-файлов.
Как и прогнозировали вирусные аналитики ESET, создание Win32/Stuxnet вызвало появление новых вредоносных программ, а также модификаций уже известного злонамеренного ПО, использующего данную уязвимость. Для обнаружения подобных угроз специалисты вирусной лаборатории ESET создали отдельный класс сигнатур - LNK/Autostart.
C помощью технологии раннего обнаружения ThreatSense.Net уже удалось выявить и другие программы, использующие уязвимость в Windows Shell. Речь идет о семействе Win32/TrojanDownloader.Chymine, которое относится к классу downloader-угроз. При установке на компьютер данная программа скачивает кейлоггер Win32/Spy.Agent.NSO, регистрирующий каждое нажатие клавиши на клавиатуре. Аналогичным образом происходит распространение трояна-downloader - Win32/Autorun.VB.RP, который также устанавливает на ПК вредоносное ПО. Кроме того, вирусными аналитиками было выявлено несколько модификаций вируса Win32/Sality, а также троянской программы Zeus, которые используют данную уязвимость. По данным ESET, Sality постоянно присутствует в десятке наиболее распространенных угроз в мире и может выполнять функции как трояна-загрузчика, так шпиона или кейлоггера. На счету Zeus миллионы зараженных компьютеров, объединенных в ботнет.
На сегодняшний день распространение угроз, использующих уязвимость в Windows Shell, осуществляется не только через USB-носители. Теперь заражение может происходить через общие сетевые папки, а также благодаря специально сформированным файлам для офисного пакета Microsoft. Кроме того, сервер злоумышленников, с которого распространяется вредоносная программа, может формировать адрес web-страницы определенного вида, посредством которого компьютер может быть атакован через браузер.
"Ежедневно мы фиксируем несколько тысяч новых заражений Win32/Stuxnet - отмечает Александр Матросов, руководитель Центра вирусных исследований и аналитики компании ESET. – При этом страдают не только промышленные предприятия, но и домашние пользователи. И в ближайшее время мы прогнозируем рост числа вредоносных программ, использующих уязвимость в программной оболочке Windows Shell при обработке LNK-файлов".
(Голосов: 3, Рейтинг: 3.48) |
P.S. Это я не в том смысле, что винда - плохая ОС.
| как все сложно и дорогостояще. У линуксоидов таких проблем нет.. |
а на самом деле -- маркетологи хотят чтобы мысли у тебя возникали такие:
'''
как всё сложно и дорогостояще! люди работают! придумывают сложные системы! и сёравно злобные гадкие хакеры всё портят! но сёравно антивирусные компании находят ещё решения!...
...а я так жалок и ничего не понимаю во всех этих компьютерных сложностях...
но ничего страшного! оставлю сложности специалистам! всё что нада -- так это всеголишь купить нужные программы, и они всё сделают!
'''
Если в линуксе все бы под root сидели... тоже бы все сложно было...
Специально сформированный ярлык заставляет Windows Shell подгрузить внешнюю динамическую библиотеку, которая выполняет произвольный код с привилегиями пользователя, запустившего Windows Explorer.
Текущий вариант червя осуществляет следующие действия на системе:
1. Червь копирует себя в файлы:
%System%\drivers\mrxcls.sys
%System%\drivers\mrxnet.sys
Некоторые образцы имеют цифровую подпись Realtek Semiconductor Corporation.
2. Регистрирует себя (mrxcls.sys) в качестве службы под названим MRXCLS.
3. Создает ключ в реестре
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls\
4. Регистрирует файл mrxnet.sys в качестве службы под названием MRXNET
5. Создает ключ в реестре
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNet\
И т.д.
Ключевые слова
"которая выполняет произвольный код с привилегиями пользователя, запустившего Windows Explorer."
Все последующие процедуры... без административных привилегий, работать не будет... не хватит прав... ни записать файлы в каталог винды ни зарегать и создать службы...
| Некоторые образцы имеют цифровую подпись Realtek Semiconductor Corporation.
|
Странно. Вот тут про JMicron написано, а не про Realtek.
|
the file was signed with a certificate from a company called "JMicron Technology Corp". |
This is different from the previous drivers which were signed with the certificate from Realtek Semiconductor Corp.
опечатка сообщ
Блоги
TOP Новости 
Уязвимости 03 февраля, 2012
01 февраля, 2012
31 января, 2012
25 января, 2012
Подписка
Вирусы 