Trojan.Stuxnet проникает в Windows через ярлыки
В июле 2010 года Россия страдала не только от погоды. Жарко пришлось и тем, кто попадается на удочку вредоносных программ. Особенно популярным в прошлом месяце стал Trojan.Stuxnet, который использует альтернативный способ запуска со съемных носителей и применяет украденные цифровые подписи известных производителей ПО.
Троянец устанавливает в систему два драйвера, один из которых является драйвером-фильтром файловой системы, скрывающим наличие компонентов вредоносной программы на съемном носителе. Второй драйвер используется для внедрения зашифрованной динамической библиотеки в системные процессы и специализированное ПО для выполнения основной задачи.
Вредоносная программа использует "слабое звено" в алгоритме обработки содержимого ярлыков. Отметим, что Microsoft оперативно отреагировала на обнаружение этой уязвимости. По информации, опубликованной разработчиком ОС Windows, ей подвержены как 32-битные, так и 64-битные версии, начиная с Windows XP и заканчивая Windows 7 и Windows Server 2008 R2. Злоумышленники могут использовать эту "брешь" и для удаленного запуска вредоносных программ. Кроме того, опасный код может интегрироваться в документы некоторых типов, предполагающих наличие в них встроенных ярлыков, и распространяться посредством эксплуатации обнаруженной уязвимости.
В начале августа Microsoft выпустила критический патч для всех подверженных уязвимости версий Windows. Кроме драйверов, которые подписываются для незаметной установки, подписан также и вредоносной файл, запускающийся с помощью эксплойта уязвимости Windows Shell со съемных носителей. Но данная подпись после первой же активизации троянца перестает действовать.
Отреагировали на появление новой угрозы и специалисты компании "Доктор Веб". В вирусную базу были добавлены процедуры лечения зараженных троянцем систем.
Буткиты - программы, модифицирующие загрузочный сектор диска - постепенно становятся привычным компонентом вредоносного ПО. Применение буткитов приводит к тому, что обычные средства анализа системы на наличие вредоносного кода не в состоянии детектировать объект комплексно. Не имея возможности отследить модификацию загрузочного сектора, они могут определить лишь те компоненты вредоносных программ, которые расположены на диске в виде обычных файлов. Таким образом, даже после лечения вирус снова окажется в системе. Лишь немногие комплексные антивирусные средства способны выявить модификацию загрузочного сектора и полностью вылечить систему от буткита.
В большинстве случаев разработчики антивирусов предлагают избавляться от этой проблемы с помощью специальных утилит. Но пользователь не всегда своевременно начинает искать альтернативные пути решения проблемы, поскольку не в состоянии понять, что его антивирус просто "не видит" факта модификации загрузочного сектора системного диска.
Одним из буткитов стал уже известный Trojan.Hashish. Проблема заражения им в июле была актуальна в Европе. Действия вредоносной программы приводили к самопроизвольному открытию окон Internet Explorer, в которых отображалась реклама. Другим результатом работы Trojan.Hashish стало периодическое воспроизведение стандартного системного звука, соответствующего запуску программы, если таковой настроен в Windows.
Среди всех обращений по поводу блокировщиков существенно возросла доля запросов, связанных с блокировкой популярных сайтов - социальных сетей, бесплатных почтовых сервисов, поисковых систем. К концу июля количество обращений по поводу таких блокировщиков превысило обращения о блокировке рабочего стола Windows.
© @Astera
