Nowa luka w Windows coraz groźniejsza
Skutki ujawnionej w miniony czwartek usterki bezpieczeństwa systemu Windows w przetwarzaniu plików .lnk odbijają się coraz szerszym echem, ponieważ używający luki trojan stał się aktywny.
Według Kasperskiego do tej pory malware upowszechnił się jedynie w Iranie, Indiach i Indonezji, przy czym w każdym z tych krajów odnotowano przeciętnie około 5 tysięcy infekcji. Kaspersky naliczył też 150 infekcji w Rosji, a tylko pięć w Chinach.
Nie wiadomo, dlaczego rozprzestrzenianie się tego "szkodnika", zaprojektowanego specjalnie do śledzenia systemów zarządzania procesami produkowanych przez Siemensa, jest ograniczone regionalnie. Nie wiadomo także, w jaki sposób części trojana stosowanego do szpiegostwa przemysłowego zostały podpisane za pomocą ważnych (ale już przeterminowanych) sygnatur producenta Realtek. Pytania ze strony heise Security kierowane do Realteka i do wystawcy certyfikatu, firmy VeriSign, na razie pozostają bez odpowiedzi.
Pojawiają się jednak domysły, że to zewnętrzny producent oprogramowania, który miał za zadanie napisać sterowniki dla sprzętu Realteka, nieprawidłowo podpisał oprogramowanie w trakcie produkcji albo też doszło do przekupienia jednego z pracujących tam programistów. Biorąc pod uwagę, że firmy w Indiach przejęły tworzenie oprogramowania dla wielu międzynarodowych korporacji, regionalne rozpowszechnienie tego trojana mogłoby stanowić poparcie tej tezy.
Według analiz białoruskiego producenta programów antywirusowych VirusBlokAda trojanowi obecnie udaje się zainfekować w pełni załatany system Windows 7 (32-bitowy), bez konieczności sięgania po typowe w takiej sytuacji środki pomocnicze w momencie podłączenia pamięci, takie jak autorun.inf.
Na różnych forach dyskutuje się, czy system wizualizacji SCADA WinCC firmy Siemens nie używa przypadkiem standardowych danych dostępu do leżącej u jego podstaw bazy danych MS-SQL. Do pojawienia się takich przypuszczeń przyczyniła się analiza specjalisty od malware'u Franka Boldewina, który opublikował fragmenty kwerend bazodanowych wykonywanych przez trojana. Znajdują się w nich także sekwencje UID=WinCCConnect i PWD. Według informacji producenta antywirusów F-Secure użytkownicy WinCC nie mogą zmienić tych danych. To mogłoby oznaczać, że być może wiele systemów na całym świecie posługuje się takimi samymi hasłami dostępu do bazy danych. Na razie heise Security nie uzyskało odpowiedzi od Siemensa na to pytanie.
"Szkodnik" korzysta z błędu w przetwarzaniu skrótów (pliki .lnk): podczas wyświetlania powiązanej z nimi ikony, np. w Windows Explorerze, bez dodatkowej interakcji ze strony użytkownika uruchamia się szkodliwy kod.
Trojan przy tej okazji instaluje w systemie dwa sterowniki z funkcjami rootkit, które następnie ukrywają swoją aktywność.
Microsoft nie potwierdził jeszcze oficjalnie istnienia luki .lnk. W tej chwili nie ma dla niej ani patcha, ani też obejścia.
Amerykański ośrodek US-CERT proponuje, aby zwiększyć liczbę kroków interakcji użytkownika z komputerem po podłączeniu pamięci USB przez wyłączenie mechanizmu automatycznego uruchamiania.
Wiele programów antywirusowych zaczęło już rozpoznawać komponenty "szkodnika" jako Win32/Stuxnet.