Przez nową lukę w Windows rozpowszechnia się trojan
Według doniesień specjalistów, pojawił się nowy trojan, który rozprzestrzenia się przez pamięci ze złączem USB i wykorzystuje w tym celu lukę w Windows, o której najprawdopodobniej nikt jeszcze nie słyszał.
Trojan wykorzystuje tę okazję do zainstalowania w systemie dwóch sterowników z funkcjami rootkit, które następnie ukrywają swoją aktywność. Co ciekawe, oba sterowniki są podpisane cyfrowo kluczem kodu producenta RealTek, dzięki czemu można je zainstalować w systemie bez wywoływania alarmu. Nie tak dawno temu producent oprogramowania F-Secure zauważał, że w obiegu pojawia się coraz więcej cyfrowo podpisanego malware'u dla Windows. Zdarza się nawet, że używane do tego celu cyfrowe klucze są wykradane programistom.
Według badań specjalisty od malware'u, Franka Boldewina nie mamy tu do czynienia z trojanem ogólnego zastosowania, który zbiera hasła użytkowników. Wygląda na to, że szkodnik celowo szpieguje systemy pod kątem metod kierowania i wizualizacji procesów. Prawdopodobnie więc nie rozpowszechni się na szeroką skalę.
Microsoft został już poinformowany o błędzie, ale wygląda na to, że ma problemy z jego zrekonstruowaniem. Według informacji Andreasa Marxa z AV-Test każdy plik .lnk jest bowiem powiązany z identyfikatorem już zainfekowanej pamięci USB. W związku z tym dotychczas znalezione próbki trojana nie pozwalają się uruchomić bez dodatkowych zabiegów w systemie Windows. Malware startuje dopiero w debugerze OllyDbg i po kilku zmianach w kodzie.
Producenci antywirusów przygotowują odpowiednie szczepionki i sygnatury. Użytkownicy Windows powinni uważać na pamięci USB pochodzące z niezaufanych źródeł i nie podłączać ich do komputera.
