Новый способ заражения

17 июня специалистами компании "ВирусБлокАда" (www.anti-virus.by) были впервые обнаружены модули новой вредоносной программы. В процессе анализа выяснилось, что вирус распространяется через USB-накопители. При этом заражение происходит не известным ранее способом через файл autorun.inf, а через уязвимость в обработке lnk-файлов. Таким образом, пользователю достаточно открыть инфицированный накопитель в Microsoft Explorer или в любом другом файловом менеджере, который умеет отображать иконки в lnk-файлах (к примеру, Total Commander), чтобы произошло заражение системы, и вредоносная программа получила управление.

Получив управление, вредоносная программа заражает систему, внедряя в нее два драйвера: mrxnet.sys и mrxcls.sys. Особенность данных драйверов состоит в том, что они подписаны цифровой подписью, сертификат на которую выдан известной компании Realtek Semiconductor Corp. После установки драйверов происходит загрузка вредоносного кода в системные процессы, а также скрываются следы присутствия инфицированных файлов на USB-накопителе. Поэтому пользователь и не видит "лишние" файлы на флэшке.

Таким образом, данную вредоносную программу можно отнести к категории наиболее опасных, т.к. в ней используются технологии, представляющие риск для заражения многих компьютеров и начала вирусной эпидемии.

 
Версия для печатиВерсия для печати

Номер: 

27 за 2010 год

Рубрика: 

Защита информации
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!
 

Комментарии

Страницы

Аватар пользователя Инкогнито
Вот погуглил. Первые результаты поиска по "уязвимость в обработке lnk-файлов" датированы 15-м июля. А "специалисты ВБА" "обнаружили(!!!) модули" лишь 17-го. LOL. И то, обнаружив, в новостях о них не рассказали...
Аватар пользователя Инкогнито
Зря на специалистов из ВБА катил, таки они, похоже, отличились, причем еще 17 июНя. Некоторый свет проливает http://www.securelist.com/ru/blog/34291/Mirt_i_guava_Epizod_1 и далее по линкам.

Только почему же в КВ об этом только через месяц-то?

Страницы