Новый USB-троян обладает легальной подписью

Эксперты антивирусной компании из Белоруссии "ВирусБлокАда" сообщили об обнаружении новой троянской программы, имеющей две необычные отличительные особенности. Во-первых, она распространяется через USB-накопители новым способом, а во-вторых, вредонос имеет легальную цифровую подпись компании Realtek.

Традиционный способ распространения Windows-вирусов через флешки использует файл автозапуска autorun.inf. Таким умением, к примеру, обладает великий и ужасный Conficker, который уже второй год то и дело устраивает переполохи в различных локальных сетях.

Новый же троянец использует уязвимость в обработке lnk-файлов, то есть файлов-ярлыков. Как сообщают белорусские специалисты, "пользователю достаточно открыть инфицированный накопитель в Microsoft Explorer или в любом другом файловом менеджере, который умеет отображать иконки в lnk-файлах (к примеру, Total Commander), чтобы произошло заражение системы, и вредоносная программа получила управление".

При заражении компьютера в систему внедряются два sys-файла, которые призваны скрывать присутствие заражённых файлов в системе и на сменном накопителе. Особенность этих "драйверов" состоит в том, что они подписаны цифровой подписью компании Realtek Semiconductor Corp.

Эксперт "Лаборатории Касперского" Александр Гостев проверил эту подпись на сайте Verisign и выяснил, что такой сертификат действительно был выдан на имя Realtek. Однако этот сертификат перестал действовать 12 июня. Примерно тогда же, 17 июня, вредонос впервые попал в поле зрения специалистов "ВирусБлокАда". Между тем, вредоносные файлы были подписаны ещё 25 января, в связи с чем Гостев высказывает гипотезу, что именно из-за этой подписи вирус "столь долгое время был «невидим» для антивирусных решений".

"Все эти факты указывают на то, что в данном случае мы имеем дело с ситуацией, когда действительно кто-то обладающий возможностью подписывать файлы подписью от Realtek – сделал это: подписал троянца", — считает Гостев.

Эксперт "Лаборатории Касперского" не взялся строить более конкретные предположения на этот счёт, но, очевидно, имеется два наиболее вероятных варианта: либо у вирусописателей имеется или имелся инсайдер в Realtek, либо они ухитрились пролезть в компьютерную сеть компании. Точнее может сказать только расследование при участии Realtek, однако здесь пока не отреагировали на уведомление, отправленное им специалистами "ВирусБлокАда".

Что до уязвимости в обработке lnk-файлов, то Гостев также не исключает, что "это не баг, это фича", как было и в случае с AutoRun. Microsoft также получил извещение о проблеме, так что, "вероятно, в ближайшие дни мы узнаем истину", говорит Гостев.

В "Лаборатории Касперского" новый троянец получил название Stuxnet.


Игорь Крейн, Вебпланета


!

Если для Вас конкретно эта новость оказалась важной или интересной - пожалуйста, поделитесь ею в своей любимой социальной сети с помощью кнопок, расположенных под этим текстом. Это поможет нам в будущем делать более качественную подборку материалов, исходя из Ваших потребностей\интересов.




Коды для вставки в блог\форум

blog comments powered by Disqus


Вспомним другие новости из этого раздела?


Soft

←+Ctrl+→

Интересные новости
Как проверить безопасность ваших расширений в Google ChromeКак проверить безопасность ваших расширений в Google Chrome
Microsoft запустила бесплатную версию корпоративного мессенджера TeamsMicrosoft запустила бесплатную версию корпоративного мессенджера Teams
Google готовит редизайн браузера ChromeGoogle готовит редизайн браузера Chrome
Opera представила первый мобильный браузер со встроенным криптокошелькомOpera представила первый мобильный браузер со встроенным криптокошельком
NVIDIA создала ИИ, моментально улучшающий изображенияNVIDIA создала ИИ, моментально улучшающий изображения
Блок рекламы


Похожие новости

Skype переведет всех десктоп-пользователей на новый дизайн. Появится запись звонков и шифрованиеSkype переведет всех десктоп-пользователей на новый дизайн. Появится запись звонков и шифрование
Обнаружен новый неудаляемый вирус для WindowsОбнаружен новый неудаляемый вирус для Windows
Новый AdBlock позволяет блокировать отслеживание пользователей соцсетямиНовый AdBlock позволяет блокировать отслеживание пользователей соцсетями
Opera выпустила новый мобильный браузерOpera выпустила новый мобильный браузер
Обнаружен новый вирус-вымогатель массового поражения Data KeeperОбнаружен новый вирус-вымогатель массового поражения Data Keeper
В Windows 10 добавили новый режим производительностиВ Windows 10 добавили новый режим производительности
На iOS и macOS новый баг. Символ перезагружает устройства и блокирует приложения
Выявлен новый опасный банковский троянВыявлен новый опасный банковский троян
Новый отчёт в Google Chrome поможет улучшить юзабилити сайтовНовый отчёт в Google Chrome поможет улучшить юзабилити сайтов
В США представлен новый интеллектуальный голографический помощникВ США представлен новый интеллектуальный голографический помощник
Последние новости

Подгружаем последние новости