# Форум на русском языке  > Новости  > Новости компьютерной безопасности  >  Компания «ВирусБлокАда» сообщает об обнаружении вредоносной программы, использующей новую уязвимость для своего распространения.

## Groft

Модули данной программы были впервые обнаружены специалистами компании «ВирусБлокАда» ( www.anti-virus.by ) 17 июня 2010 года и добавлены в антивирусные базы как Trojan-Spy.0485 и Malware-Cryptor.Win32.Inject.gen.2. В процессе анализа было обнаружено, что вирус распространяется через USB-накопители. При этом заражение происходит не известным ранее способом через файл autorun.inf, а через уязвимость в обработке lnk-файлов. Таким образом, пользователю достаточно открыть инфицированный накопитель в Microsoft Explorer или в любом другом файловом менеджере, который умеет отображать иконки в lnk-файлах (к примеру, Total Commander), чтобы произошло заражение системы, и вредоносная программа получила управление.

Получив управление, вредоносная программа заражает систему, внедряя в нее два драйвера: mrxnet.sys и mrxcls.sys. Эти файлы были добавлены в антивирусные базы соответственно как Rootkit.TmpHider и SScope.Rookit.TmpHider.2. Особенность данных драйверов состоит в том, что они подписаны цифровой подписью, сертификат на которую выдан известной компании Realtek Semiconductor Corp. ( www.realtek.com ). После установки драйверов происходит загрузка вредоносного кода в системные процессы, а также скрываются следы присутствия инфицированных файлов на USB-накопителе. Поэтому пользователь и не видит “лишние” файлы на флэшке.

Таким образом, данную вредоносную программу можно отнести к категории наиболее опасных, т.к. в ней используются технологии, представляющие риск для заражения многих компьютеров и начала вирусной эпидемии.

После того, как нашими специалистами были добавлены записи в антивирусную базу на описанные выше вредоносные программы, в Технической Поддержке компании было зарегистрировано множество обращений с симптомами, указывающими на заражение Rootkit.TmpHider и SScope.Rookit.TmpHider.2 в нескольких точках мира

Источник

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Br0m

а что делать тем у кого автозапуск отключен через политики, реестр и твики + используется Far Manager 2.x ? они опять в пролете?  :Sad: 
(срочно добавляет .lnk в список запрещенных для автозагрузки)

----------


## Kuzz

> (срочно добавляет .lnk в список запрещенных для автозагрузки)


Не поможет. 



> через уязвимость в обработке lnk-файлов.


Т.е. просмотр флешки через проводник или тоталкомандер (или другой файл-менеджер, который показывает картинки ярлыков) вызывает заражение.

----------


## g0dl1ke

> Не поможет. 
> 
> Т.е. просмотр флешки через проводник или тоталкомандер (или другой файл-менеджер, который показывает картинки ярлыков) вызывает заражение.


А можно подробнее, как именно заражается система через *.lnk?

----------


## Alexey P.

Через уязвимость в винде. Говорят, уязвимы все, включая вин7 со всеми патчами.

----------


## Kuzz

> А можно подробнее, как именно заражается система через *.lnk?


Подробней, вероятно, будет после выпуска соответствующего патча.
Т.к. нормальной практикой является сначала уведомить производителя и дождаться выпуска заплатки, а лишь затем раскрывать суть уязвимости.

----------


## Julevar

Произойдет ли заражение, если в Тотале выставить настройку, чтоб показывало только ассоциированные значки?

----------


## SuperBrat

> Произойдет ли заражение, если в Тотале выставить настройку, чтоб показывало только ассоциированные значки?


Нет, если автор корректно программировал эти радиокнопки.

----------


## g0dl1ke

значит кто юзает тотал, спит спокойно.

----------


## Игорь

А у меня старый Тотал, видимо нужно сделать так?  :Smiley:

----------


## Юльча

> А у меня старый Тотал, видимо нужно сделать так?


подозреваю что всё это особенности перевода:
у *Julevar* настройка выглядит как "все ассоциированные"
в моем тотале эта же настройка - "все связанные"
а у вас судя по всему - "все" 
т.к. глянула в английском варианте у меня этот пунктик выглядит как "All"

хотя "не показывать значки" тоже неплохой выбор )

----------


## Игорь

Да, действительно, тонкости перевода.  :Smiley:

----------


## Юльча

а при блокировке запуска исполняемых файлов с флешки уязвимость сработает?
список назначенных типов файлов там же в политике..

или нужно донастроить что-то особое? т.е. вручную добавить нужное расширение в назначенные типы файлов

----------


## ALEX(XX)

*Юльча*, это баг в винде, дыра.. Поэтому сработает

----------


## Alexey P.

Угу, тем более в обсуждаемом случае не exe стартует, dll. Похоже, через regsvr32, но точно не знаю.

----------


## Юльча

понимаю что дыра  :Smiley:  но не понимаю как работает.. вот и уточняю.

что конкретно стартует с флешки? 
кроме особой иконки к ярлыку юзающей баг там ничего вредоносного нет? 
ну должен же быть способ  :Smiley:

----------


## Alex_Goodwin

Статья от ЛК http://www.securelist.com/ru/blog/34...zod_1#readmore
http://www.securelist.com/ru/blog/34...zod_2#readmore

----------


## Игорь

Привыкаю работать без иконок, что бы быть готовым встретить отважную "шестёрку" на флешке.  :Smiley:

----------


## Kuzz

> Привыкаю работать без иконок


сертификат уже отозвали, основные вендоры уже и *lnk и остальные компоненты находят, так то можно и (почти) расслабиться))))

----------


## Kuzz

http://www.securitylab.ru/analytics/395926.php

----------


## ALEX(XX)

http://www.securelist.com/en/blog/22...n_certificates ТАДАМЦ!

Хороните "белые списки". Вэлкам эвристика и сигнатуры

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## rav

Ну почему "хороните"? Те, что  основаны на хешах, работают нормально.

----------


## ALEX(XX)

А ЭЦП, получается, доверять нельзя уже..

----------


## Kuzz

> http://www.securelist.com/en/blog/22...n_certificates ТАДАМЦ!
> 
> Хороните "белые списки". Вэлкам эвристика и сигнатуры


А вот и русс: http://www.securelist.com/ru/blog/32...ye_sertifikaty

----------


## Юльча

а как работает эксплоит? 

хотела глянуть что произойдет, но ничего не вижу  :Smiley: 

отображение ярлыков не отключала, службу webdav не останавливала

----------


## rav

Надо скачать DebugView и в нём уже смотреть вывод бибилотеки. Ещё одна особенность- dll.dll добжна быть помещена в c:\

----------


## Kuzz

Люди самостоятельно накатали патчик...

http://nemesis.te-home.net/News/2010...2_and_SP3.html

----------


## Юльча

> Люди самостоятельно накатали патчик...
> 
> http://nemesis.te-home.net/News/2010...2_and_SP3.html


а чем он лучше утилиты от M$?  :Smiley:

----------


## Kuzz

Тем, что это именно патч. Т.е. правит shell32.dll
Исходник в комплекте)

----------


## Alexey P.

Кто-нибудь проверял его, работает ?
Для вин2к - ХР до сп2 это, похоже, будет единственный правильный выход.

*Добавлено через 29 секунд*

Т.е. это установит пол-страны как минимум.

----------


## Kuzz

Надо бы разобрать, что оно изменяет/привносит..

*Добавлено через 53 минуты*

Хм, скорее всего там делается что-то подобное http://habrahabr.ru/blogs/infosecuri...omment_3081385

----------


## ALEX(XX)

Microsoft изменила ранее опубликованное уведомление безопасности, добавив два новых вектора эксплуатации уязвимости:

   1. Internet Explorer. Злоумышленник может с помощью специально сформированного Web сайта заставить браузер пользователя загрузить иконку для ярлыка и выполнить вредоносный код на целевой системе.
   2. Документы Office. Злоумышленник может встроить специально сформированный ярлык в документ Microsoft Office (или другого офисного пакета, поддерживающего работу со встроенными ярлыками) и скомпрометировать целевую систему.

Это говорит о том, что в скором времени можно ожидать распространение эксплоита через вложенные файлы в email сообщениях.

отседа

*Добавлено через 1 минуту*

PS: А тэпэр - ПРОПЭЛЛЭР!

----------


## Alexey P.

Да, дыру еще по сути не начали эксплуатировать, только засветили.
Есть время от недель до пары месяцев до эпидемии. Как обычно.

----------


## Юльча

> *Юльча*, это баг в винде, дыра.. Поэтому сработает


судя из этого - не сработает.. 
только придется политику ужесточить

это с хабра по ссылочке *Kuzz*:



> Еще по теме противодействия этой уязвимости можно почитать в блоге независимого исследователя Didier Stevens. Там описывается два способа:
> 1) Запрет автозапуска и выполнения исполняемых модулей с внешних носителей. Но это вас не спасет от возможности заражения с сетевых шар и WebDAV ссылки.
> 2) Установка Software Restriction Policies (SRP)


*Добавлено через 10 минут*

... хоть не придется на работе пользователям иконки резать ..

*Добавлено через 47 минут*




> 2. Документы Office. Злоумышленник может встроить специально сформированный ярлык в документ Microsoft Office (или другого офисного пакета, поддерживающего работу со встроенными ярлыками) и скомпрометировать целевую систему.


а openoffice работает со встроенными ярлыками?  :Huh:

----------


## ALEX(XX)

> а openoffice работает со встроенными ярлыками?


А вот это и мне интересно знать...

----------


## Kuzz

И для тех, кто еще не видел, еще 3 части Мирт и гуава
http://www.securelist.com/ru/blog/34...guava_Epizod_3
http://www.securelist.com/ru/blog/34...guava_Epizod_4
http://www.securelist.com/ru/blog/34...guava_Epizod_5

----------


## ALEX(XX)

*Юльча*, на Инфре не Вы отписались в теме про ОО и ярлыки?  :Smiley:

----------


## Юльча

я  
для меня проблема тоже актуальна  



зы.
и кстати нас там дружно "послали" на антивирусный форум  :Cheesy:

----------


## ALEX(XX)

упоротые какие-то.  :Sad:  Я им про Ивана, они мне про барана

----------


## Kuzz

*Уязвимость Windows, связанная с ярлыками, будет закрыта в понедельник 2 августа*
Microsoft сообщает что нашумевшая уязвимость Windows, связанная с некорректной обработкой ярлыков, будет закрыта внеплановым обновлением в понедельник 2 августа. Бюллетень по поводу этой уязвимости был опубликован 16 июля.

technet.com

----------

