Модули данной программы были впервые обнаружены специалистами компании «ВирусБлокАда» ( www.anti-virus.by ) 17 июня 2010 года и добавлены в антивирусные базы как Trojan-Spy.0485 и Malware-Cryptor.Win32.Inject.gen.2. В процессе анализа было обнаружено, что вирус распространяется через USB-накопители. При этом заражение происходит не известным ранее способом через файл autorun.inf, а через уязвимость в обработке lnk-файлов. Таким образом, пользователю достаточно открыть инфицированный накопитель в Microsoft Explorer или в любом другом файловом менеджере, который умеет отображать иконки в lnk-файлах (к примеру, Total Commander), чтобы произошло заражение системы, и вредоносная программа получила управление.

Получив управление, вредоносная программа заражает систему, внедряя в нее два драйвера: mrxnet.sys и mrxcls.sys. Эти файлы были добавлены в антивирусные базы соответственно как Rootkit.TmpHider и SScope.Rookit.TmpHider.2. Особенность данных драйверов состоит в том, что они подписаны цифровой подписью, сертификат на которую выдан известной компании Realtek Semiconductor Corp. ( www.realtek.com ). После установки драйверов происходит загрузка вредоносного кода в системные процессы, а также скрываются следы присутствия инфицированных файлов на USB-накопителе. Поэтому пользователь и не видит “лишние” файлы на флэшке.

Таким образом, данную вредоносную программу можно отнести к категории наиболее опасных, т.к. в ней используются технологии, представляющие риск для заражения многих компьютеров и начала вирусной эпидемии.

После того, как нашими специалистами были добавлены записи в антивирусную базу на описанные выше вредоносные программы, в Технической Поддержке компании было зарегистрировано множество обращений с симптомами, указывающими на заражение Rootkit.TmpHider и SScope.Rookit.TmpHider.2 в нескольких точках мира

Источник (http://anti-virus.by/press/viruses/3948.html)

а что делать тем у кого автозапуск отключен через политики, реестр и твики + используется Far Manager 2.x ? они опять в пролете? :(
(срочно добавляет .lnk в список запрещенных для автозагрузки)

(срочно добавляет .lnk в список запрещенных для автозагрузки)
Не поможет.

через уязвимость в обработке lnk-файлов.
Т.е. просмотр флешки через проводник или тоталкомандер (или другой файл-менеджер, который показывает картинки ярлыков) вызывает заражение.

Не поможет.

Т.е. просмотр флешки через проводник или тоталкомандер (или другой файл-менеджер, который показывает картинки ярлыков) вызывает заражение.

А можно подробнее, как именно заражается система через *.lnk?

Через уязвимость в винде. Говорят, уязвимы все, включая вин7 со всеми патчами.

А можно подробнее, как именно заражается система через *.lnk?

Подробней, вероятно, будет после выпуска соответствующего патча.
Т.к. нормальной практикой является сначала уведомить производителя и дождаться выпуска заплатки, а лишь затем раскрывать суть уязвимости.

Произойдет ли заражение, если в Тотале выставить настройку, чтоб показывало только ассоциированные значки? http://ipicture.ru/uploads/100712/7Cj0SJJIBT.png

Произойдет ли заражение, если в Тотале выставить настройку, чтоб показывало только ассоциированные значки?
Нет, если автор корректно программировал эти радиокнопки.

значит кто юзает тотал, спит спокойно.

А у меня старый Тотал, видимо нужно сделать так? :)

А у меня старый Тотал, видимо нужно сделать так? :)

подозреваю что всё это особенности перевода:
у Julevar настройка выглядит как "все ассоциированные"
в моем тотале эта же настройка - "все связанные"
а у вас судя по всему - "все"
т.к. глянула в английском варианте у меня этот пунктик выглядит как "All"

хотя "не показывать значки" тоже неплохой выбор )

Да, действительно, тонкости перевода. :)

а при блокировке запуска исполняемых файлов с флешки (http://virusinfo.info/showthread.php?t=73715) уязвимость сработает?
список назначенных типов файлов там же в политике..

или нужно донастроить что-то особое? т.е. вручную добавить нужное расширение в назначенные типы файлов

Юльча, это баг в винде, дыра.. Поэтому сработает

Угу, тем более в обсуждаемом случае не exe стартует, dll. Похоже, через regsvr32, но точно не знаю.

понимаю что дыра :) но не понимаю как работает.. вот и уточняю.

что конкретно стартует с флешки?
кроме особой иконки к ярлыку юзающей баг там ничего вредоносного нет?
ну должен же быть способ :)

Статья от ЛК http://www.securelist.com/ru/blog/34291/Mirt_i_guava_Epizod_1#readmore
http://www.securelist.com/ru/blog/34293/Mirt_i_guava_Epizod_2#readmore

Привыкаю работать без иконок, что бы быть готовым встретить отважную "шестёрку" на флешке. :)

Привыкаю работать без иконок
сертификат уже отозвали, основные вендоры уже и *lnk и остальные компоненты находят, так то можно и (почти) расслабиться))))

http://www.securitylab.ru/analytics/395926.php

http://www.securelist.com/en/blog/2234/Stuxnet_and_stolen_certificates ТАДАМЦ!

Хороните "белые списки". Вэлкам эвристика и сигнатуры

Ну почему "хороните"? Те, что основаны на хешах, работают нормально.

А ЭЦП, получается, доверять нельзя уже..

http://www.securelist.com/en/blog/2234/Stuxnet_and_stolen_certificates ТАДАМЦ!

Хороните "белые списки". Вэлкам эвристика и сигнатуры

А вот и русс: http://www.securelist.com/ru/blog/32850/Stuxnet_i_ukradennye_sertifikaty

а как работает эксплоит (http://www.securitylab.ru/poc/395903.php)? :scratch_one-s_head:

хотела глянуть что произойдет, но ничего не вижу :)

отображение ярлыков не отключала, службу webdav не останавливала

Надо скачать DebugView и в нём уже смотреть вывод бибилотеки. Ещё одна особенность- dll.dll добжна быть помещена в c:\

Люди самостоятельно накатали патчик...

http://nemesis.te-home.net/News/20100722_Update_for_shell32_dll_patch_for_XP_SP2_a nd_SP3.html

Люди самостоятельно накатали патчик...

http://nemesis.te-home.net/News/2010...2_and_SP3.html
а чем он лучше утилиты (http://virusinfo.info/showthread.php?t=83580) от M$? :)

Тем, что это именно патч. Т.е. правит shell32.dll
Исходник в комплекте)

Кто-нибудь проверял его, работает ?
Для вин2к - ХР до сп2 это, похоже, будет единственный правильный выход.

Добавлено через 29 секунд

Т.е. это установит пол-страны как минимум.

Надо бы разобрать, что оно изменяет/привносит..

Добавлено через 53 минуты

Хм, скорее всего там делается что-то подобное http://habrahabr.ru/blogs/infosecurity/99732/#comment_3081385

Microsoft изменила ранее опубликованное уведомление безопасности, добавив два новых вектора эксплуатации уязвимости:

1. Internet Explorer. Злоумышленник может с помощью специально сформированного Web сайта заставить браузер пользователя загрузить иконку для ярлыка и выполнить вредоносный код на целевой системе.
2. Документы Office. Злоумышленник может встроить специально сформированный ярлык в документ Microsoft Office (или другого офисного пакета, поддерживающего работу со встроенными ярлыками) и скомпрометировать целевую систему.

Это говорит о том, что в скором времени можно ожидать распространение эксплоита через вложенные файлы в email сообщениях.

отседа (http://www.securitylab.ru/analytics/395926.php)

Добавлено через 1 минуту

PS: А тэпэр - ПРОПЭЛЛЭР!

Да, дыру еще по сути не начали эксплуатировать, только засветили.
Есть время от недель до пары месяцев до эпидемии. Как обычно.

Юльча, это баг в винде, дыра.. Поэтому сработает
судя из этого (http://blog.didierstevens.com/2010/07/20/mitigating-lnk-exploitation-with-srp/) - не сработает..
только придется политику ужесточить

это с хабра по ссылочке Kuzz:

Еще по теме противодействия этой уязвимости можно почитать в блоге независимого исследователя Didier Stevens. Там описывается два способа:
1) Запрет автозапуска (http://blog.didierstevens.com/2010/07/18/mitigating-lnk-exploitation-with-ariad/) и выполнения исполняемых модулей с внешних носителей. Но это вас не спасет от возможности заражения с сетевых шар и WebDAV ссылки.
2) Установка (http://blog.didierstevens.com/2010/07/20/mitigating-lnk-exploitation-with-srp/) Software Restriction Policies (SRP)

Добавлено через 10 минут

... хоть не придется на работе пользователям иконки резать ..

Добавлено через 47 минут


2. Документы Office. Злоумышленник может встроить специально сформированный ярлык в документ Microsoft Office (или другого офисного пакета, поддерживающего работу со встроенными ярлыками) и скомпрометировать целевую систему.
а openoffice работает со встроенными ярлыками? :?

а openoffice работает со встроенными ярлыками?
А вот это и мне интересно знать...

И для тех, кто еще не видел, еще 3 части Мирт и гуава
http://www.securelist.com/ru/blog/34302/Mirt_i_guava_Epizod_3
http://www.securelist.com/ru/blog/34307/Mirt_i_guava_Epizod_4
http://www.securelist.com/ru/blog/34310/Mirt_i_guava_Epizod_5

Юльча, на Инфре не Вы отписались в теме про ОО и ярлыки? :)

я :yes3:
для меня проблема тоже актуальна :smile2:



зы.
и кстати нас там дружно "послали" на антивирусный форум :D

упоротые какие-то. :( Я им про Ивана, они мне про барана

Уязвимость Windows, связанная с ярлыками, будет закрыта в понедельник 2 августа

Microsoft сообщает что нашумевшая уязвимость Windows, связанная с некорректной обработкой ярлыков, будет закрыта внеплановым обновлением в понедельник 2 августа. Бюллетень по поводу этой уязвимости был опубликован 16 июля.



technet.com (http://blogs.technet.com/b/msrc/archive/2010/07/29/out-of-band-release-to-address-microsoft-security-advisory-2286198.aspx)