Новое поколение авторанов на флэшках.
Создана: 24 Августа 2010 Втр 21:50:24.
Раздел: "Компьютерная безопасность, коды, доступы и т.д."
Сообщений в теме: 9, просмотров: 3037
-
Казалось бы, авторанами уже никого не удивить. Антивирусники худо/бедно, но ловят их. Твиками реестра автозапуск тоже отключается (настоящие джедаи давно юзают волшебную комбинацию @SYS:DoesNotExist для файлов autorun.inf).
И вот в конце июля антивирусные компании сообщают о трояне Stuxnet http://news.drweb.com/show/?i=1229&lng=ru&c=5. У него много интересных особенностей (например, заражение SCADA-систем управления технологическими процессами; установка вредоносных компонент, подписанных подлинными сертификатами Realtec и JMicron), но одна примечательна особенно: для проникновения используется неизвестная ранее уязвимость, основанная на некорректном парсинге иконки ярлыка (lnk-файлов). Для запуска вредоносного кода достаточно просто увидеть саму иконку. При просмотре(!) заражённого ярлыка в Проводнике или любом другом файловом мененджере, отображающем ассоциированные иконки (например,ТоталКоммандере), автоматически запускается DLL, на которую этот самый ярлык ссылается. Никаких действий пользователя, кроме как зайти в папку с зараженным .lnk файлом, не требуется. Таким образом, специально сформированный lnk-файл на флэшке способен поразить систему даже с отключенным автозапуском. Более того, если ярлык вложен в документ офиса, то при открытии этого документа и попытке отобразить иконку ярлыка, вредоносный код также запустится.
За обработку иконок в винде отвечает системная библитека, прописанная в ключе реестра HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler. По умолчанию, это Shell32.dll. Согласно бюллетеню MS10-046 [внешняя ссылка] уязвимы все версии винды от 2000 до семерки и сервера2008. Заплаток для 2000/хр_sp2 нет, ввиду окончания их поддержки.
В качестве кардинальной меры до установки заплатки, можно отключить показ всех иконок в винде, отредактировав ключ реестра согласно рекомендациям бюллетеня. Либо довериться своему любимому антивирусу.
Таким образом, Stuxnet положил начало новому классу авторанов - LNK/Autostart ([внешняя ссылка]).
Стоит также добавить, что рабочий эксплоит существует и опубликован в свободном доступе - [внешняя ссылка]. -
Yehat писал : А что этот вирус делает-то?
Беглец из Мезозоя писал(а) :И вот в конце июля антивирусные компании сообщают о трояне Stuxnet http://news.drweb.com/show/?i=1229&lng=ru&c=5
Теоретически он может делать все что угодно. -
Заплатка KB2286198 для поддерживаемых систем доступна -
http://www.microsoft.com/downloads/en/results.aspx?freetext=KB2286198&displaylang=en&stype=s\_basic&pf=true
Касперский/НОД/ДрВэб видят заразу при попытке скачать архив с эксплоитом. -
Если по каким-то причинам заплатку нельзя поставить, то есть альтернативное решение -
http://forum.drweb.com/index.php?showtopic=294309&view=findpost&p=433324.
Компанией Sophos выпущена бесплатная утилита, заменяющая стандартный хэндлер иконок на альтернативный -
[внешняя ссылка]
Заявлена поддержка 32- и 64-битных ОС XP, Vista, Seven.