Przez nową lukę w Windows rozpowszechnia się trojan
Według doniesień specjalistów, pojawił się nowy trojan, który rozprzestrzenia się przez pamięci ze złączem USB i wykorzystuje w tym celu lukę w Windows, o której najprawdopodobniej nikt jeszcze nie słyszał.
Według analiz białoruskiego producenta programów antywirusowych VirusBlokAda, trojanowi obecnie udaje się zainfekować w pełni załatany system Windows 7 (32-bitowy), bez konieczności sięgania po typowe w takiej sytuacji środki pomocnicze w momencie podłączenia pamięci, takie jak autorun.inf. Szkodnik wykorzystuje raczej błąd w przetwarzaniu odsyłaczy (pliki .lnk): podczas wyświetlania powiązanej z nimi ikony np. w Windows Explorerze, bez dodatkowej interakcji ze strony użytkownika uruchamia się szkodliwy kod.
Trojan wykorzystuje tę okazję do zainstalowania w systemie dwóch sterowników z funkcjami rootkit, które następnie ukrywają swoją aktywność. Co ciekawe, oba sterowniki są podpisane cyfrowo kluczem kodu producenta RealTek, dzięki czemu można je zainstalować w systemie bez wywoływania alarmu. Nie tak dawno temu producent oprogramowania F-Secure zauważał, że w obiegu pojawia się coraz więcej cyfrowo podpisanego malware'u dla Windows. Zdarza się nawet, że używane do tego celu cyfrowe klucze są wykradane programistom.
Według badań specjalisty od malware'u, Franka Boldewina nie mamy tu do czynienia z trojanem ogólnego zastosowania, który zbiera hasła użytkowników. Wygląda na to, że szkodnik celowo szpieguje systemy pod kątem metod kierowania i wizualizacji procesów. Prawdopodobnie więc nie rozpowszechni się na szeroką skalę.
Podczas analiz Boldewin natknął się na przeprowadzane przez trojana kwerendy w bazach danych, które odnoszą się do systemu SCADA WinCC Siemensa. Przeciętny programista malware'u nie byłby w stanie dokonać czegoś takiego - twierdzi Boldewin w e-mailu do heise Security. "Biorąc pod uwagę, że bardzo wiele rządów i firm przemysłowych na całym świecie stosuje system SCADA Siemensa, można przypuszczać, że napastnik ma coś wspólnego ze szpiegostwem przemysłowym i możliwe nawet, że zajmuje się szpiegostwem w sektorze publicznym" - pisze dalej Boldewin.
Microsoft został już poinformowany o błędzie, ale wygląda na to, że ma problemy z jego zrekonstruowaniem. Według informacji Andreasa Marxa z AV-Test każdy plik .lnk jest bowiem powiązany z identyfikatorem już zainfekowanej pamięci USB. W związku z tym dotychczas znalezione próbki trojana nie pozwalają się uruchomić bez dodatkowych zabiegów w systemie Windows. Malware startuje dopiero w debugerze OllyDbg i po kilku zmianach w kodzie.
Producenci antywirusów przygotowują odpowiednie szczepionki i sygnatury. Użytkownicy Windows powinni uważać na pamięci USB pochodzące z niezaufanych źródeł i nie podłączać ich do komputera.
