Новый USB-троян обладает легальной подписью

Эксперты антивирусной компании из Белоруссии "ВирусБлокАда" сообщили об обнаружении новой троянской программы, имеющей две необычные отличительные особенности. Во-первых, она распространяется через USB-накопители новым способом, а во-вторых, вредонос имеет легальную цифровую подпись компании Realtek.

Традиционный способ распространения Windows-вирусов через флешки использует файл автозапуска autorun.inf. Таким умением, к примеру, обладает великий и ужасный Conficker, который уже второй год то и дело устраивает переполохи в различных локальных сетях.

Новый же троянец использует уязвимость в обработке lnk-файлов, то есть файлов-ярлыков. Как сообщают белорусские специалисты, "пользователю достаточно открыть инфицированный накопитель в Microsoft Explorer или в любом другом файловом менеджере, который умеет отображать иконки в lnk-файлах (к примеру, Total Commander), чтобы произошло заражение системы, и вредоносная программа получила управление".

При заражении компьютера в систему внедряются два sys-файла, которые призваны скрывать присутствие заражённых файлов в системе и на сменном накопителе. Особенность этих "драйверов" состоит в том, что они подписаны цифровой подписью компании Realtek Semiconductor Corp.

Эксперт "Лаборатории Касперского" Александр Гостев проверил эту подпись на сайте Verisign и выяснил, что такой сертификат действительно был выдан на имя Realtek. Однако этот сертификат перестал действовать 12 июня. Примерно тогда же, 17 июня, вредонос впервые попал в поле зрения специалистов "ВирусБлокАда". Между тем, вредоносные файлы были подписаны ещё 25 января, в связи с чем Гостев высказывает гипотезу, что именно из-за этой подписи вирус "столь долгое время был «невидим» для антивирусных решений".

"Все эти факты указывают на то, что в данном случае мы имеем дело с ситуацией, когда действительно кто-то обладающий возможностью подписывать файлы подписью от Realtek – сделал это: подписал троянца", — считает Гостев.

Эксперт "Лаборатории Касперского" не взялся строить более конкретные предположения на этот счёт, но, очевидно, имеется два наиболее вероятных варианта: либо у вирусописателей имеется или имелся инсайдер в Realtek, либо они ухитрились пролезть в компьютерную сеть компании. Точнее может сказать только расследование при участии Realtek, однако здесь пока не отреагировали на уведомление, отправленное им специалистами "ВирусБлокАда".

Что до уязвимости в обработке lnk-файлов, то Гостев также не исключает, что "это не баг, это фича", как было и в случае с AutoRun. Microsoft также получил извещение о проблеме, так что, "вероятно, в ближайшие дни мы узнаем истину", говорит Гостев.

В "Лаборатории Касперского" новый троянец получил название Stuxnet.


Игорь Крейн, Вебпланета


!

Если для Вас конкретно эта новость оказалась важной или интересной - пожалуйста, поделитесь ею в своей любимой социальной сети с помощью кнопок, расположенных под этим текстом. Это поможет нам в будущем делать более качественную подборку материалов, исходя из Ваших потребностей\интересов.




Коды для вставки в блог\форум

blog comments powered by Disqus


Вспомним другие новости из этого раздела?


Soft

←+Ctrl+→

Интересные новости
Microsoft возобновляет распространение обновления Windows 10 October 2018Microsoft возобновляет распространение обновления Windows 10 October 2018
Вышла новая версия программы SiteAnalyzer 1.6.2Вышла новая версия программы SiteAnalyzer 1.6.2
Microsoft добавила поддержку 64-битных приложений в Windows 10 для ARM-процессоровMicrosoft добавила поддержку 64-битных приложений в Windows 10 для ARM-процессоров
GitHub: JavaScript остается самым популярным языком программирования в 2018 годуGitHub: JavaScript остается самым популярным языком программирования в 2018 году
Блок рекламы


Похожие новости

ESET обнаружила в Украине новый вирус, похожий на тот, что обесточил Прикарпатье в 2015-мESET обнаружила в Украине новый вирус, похожий на тот, что обесточил Прикарпатье в 2015-м
Лазейка для диплома: новый шрифт Times Newer Roman удлиняет предложенияЛазейка для диплома: новый шрифт Times Newer Roman удлиняет предложения
Skype переведет всех десктоп-пользователей на новый дизайн. Появится запись звонков и шифрованиеSkype переведет всех десктоп-пользователей на новый дизайн. Появится запись звонков и шифрование
Обнаружен новый неудаляемый вирус для WindowsОбнаружен новый неудаляемый вирус для Windows
Новый AdBlock позволяет блокировать отслеживание пользователей соцсетямиНовый AdBlock позволяет блокировать отслеживание пользователей соцсетями
Opera выпустила новый мобильный браузерOpera выпустила новый мобильный браузер
Обнаружен новый вирус-вымогатель массового поражения Data KeeperОбнаружен новый вирус-вымогатель массового поражения Data Keeper
В Windows 10 добавили новый режим производительностиВ Windows 10 добавили новый режим производительности
На iOS и macOS новый баг. Символ перезагружает устройства и блокирует приложения
Выявлен новый опасный банковский троянВыявлен новый опасный банковский троян
Последние новости

Подгружаем последние новости