Эксперты антивирусной компании из Белоруссии "ВирусБлокАда" сообщили об обнаружении новой троянской
программы, имеющей две необычные отличительные особенности. Во-первых,
она распространяется через USB-накопители новым способом, а во-вторых,
вредонос имеет легальную цифровую подпись компании Realtek.
Традиционный способ распространения Windows-вирусов через флешки
использует файл автозапуска autorun.inf. Таким умением, к примеру,
обладает великий и ужасный Conficker, который уже второй год то и дело устраивает переполохи в различных локальных сетях.
Новый же троянец использует уязвимость в обработке lnk-файлов, то
есть файлов-ярлыков. Как сообщают белорусские специалисты, "пользователю
достаточно открыть инфицированный накопитель в Microsoft Explorer или в
любом другом файловом менеджере, который умеет отображать иконки в
lnk-файлах (к примеру, Total Commander), чтобы произошло заражение
системы, и вредоносная программа получила управление".
При заражении компьютера в систему внедряются два sys-файла, которые
призваны скрывать присутствие заражённых файлов в системе и на сменном
накопителе. Особенность этих "драйверов" состоит в том, что они
подписаны цифровой подписью компании Realtek Semiconductor Corp.
Эксперт "Лаборатории Касперского" Александр Гостев проверил эту подпись на
сайте Verisign и выяснил, что такой сертификат действительно был выдан
на имя Realtek. Однако этот сертификат перестал действовать 12 июня.
Примерно тогда же, 17 июня, вредонос впервые попал в поле зрения
специалистов "ВирусБлокАда". Между тем, вредоносные файлы были подписаны
ещё 25 января, в связи с чем Гостев высказывает гипотезу, что именно
из-за этой подписи вирус "столь долгое время был «невидим» для
антивирусных решений".
"Все эти факты указывают на то, что в данном случае мы имеем дело с
ситуацией, когда действительно кто-то обладающий возможностью
подписывать файлы подписью от Realtek – сделал это: подписал троянца", —
считает Гостев.
Эксперт "Лаборатории Касперского" не взялся строить более конкретные
предположения на этот счёт, но, очевидно, имеется два наиболее вероятных
варианта: либо у вирусописателей имеется или имелся инсайдер в Realtek,
либо они ухитрились пролезть в компьютерную сеть компании. Точнее может
сказать только расследование при участии Realtek, однако здесь пока не
отреагировали на уведомление, отправленное им специалистами
"ВирусБлокАда".
Что до уязвимости в обработке lnk-файлов, то Гостев также не исключает, что "это не
баг, это фича", как было и в случае с AutoRun. Microsoft также получил
извещение о проблеме, так что, "вероятно, в ближайшие дни мы узнаем
истину", говорит Гостев.
В "Лаборатории Касперского" новый троянец получил название Stuxnet