-
Компания «ВирусБлокАда» сообщает об обнаружении вредоносной программы, использующей новую уязвимость для своего распространения.
Модули данной программы были впервые обнаружены специалистами компании «ВирусБлокАда» ( www.anti-virus.by ) 17 июня 2010 года и добавлены в антивирусные базы как Trojan-Spy.0485 и Malware-Cryptor.Win32.Inject.gen.2. В процессе анализа было обнаружено, что вирус распространяется через USB-накопители. При этом заражение происходит не известным ранее способом через файл autorun.inf, а через уязвимость в обработке lnk-файлов. Таким образом, пользователю достаточно открыть инфицированный накопитель в Microsoft Explorer или в любом другом файловом менеджере, который умеет отображать иконки в lnk-файлах (к примеру, Total Commander), чтобы произошло заражение системы, и вредоносная программа получила управление.
Получив управление, вредоносная программа заражает систему, внедряя в нее два драйвера: mrxnet.sys и mrxcls.sys. Эти файлы были добавлены в антивирусные базы соответственно как Rootkit.TmpHider и SScope.Rookit.TmpHider.2. Особенность данных драйверов состоит в том, что они подписаны цифровой подписью, сертификат на которую выдан известной компании Realtek Semiconductor Corp. ( www.realtek.com ). После установки драйверов происходит загрузка вредоносного кода в системные процессы, а также скрываются следы присутствия инфицированных файлов на USB-накопителе. Поэтому пользователь и не видит “лишние” файлы на флэшке.
Таким образом, данную вредоносную программу можно отнести к категории наиболее опасных, т.к. в ней используются технологии, представляющие риск для заражения многих компьютеров и начала вирусной эпидемии.
После того, как нашими специалистами были добавлены записи в антивирусную базу на описанные выше вредоносные программы, в Технической Поддержке компании было зарегистрировано множество обращений с симптомами, указывающими на заражение Rootkit.TmpHider и SScope.Rookit.TmpHider.2 в нескольких точках мира
Источник
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
а что делать тем у кого автозапуск отключен через политики, реестр и твики + используется Far Manager 2.x ? они опять в пролете?
(срочно добавляет .lnk в список запрещенных для автозагрузки)
-
Сообщение от
Br0m
(срочно добавляет .lnk в список запрещенных для автозагрузки)
Не поможет.
Сообщение от
Groft
через уязвимость в обработке lnk-файлов.
Т.е. просмотр флешки через проводник или тоталкомандер (или другой файл-менеджер, который показывает картинки ярлыков) вызывает заражение.
The worst foe lies within the self...
-
-
Сообщение от
Kuzz
Не поможет.
Т.е. просмотр флешки через проводник или тоталкомандер (или другой файл-менеджер, который показывает картинки ярлыков) вызывает заражение.
А можно подробнее, как именно заражается система через *.lnk?
То, что не убивает нас, делает нас сильнее!
-
Через уязвимость в винде. Говорят, уязвимы все, включая вин7 со всеми патчами.
-
-
Сообщение от
g0dl1ke
А можно подробнее, как именно заражается система через *.lnk?
Подробней, вероятно, будет после выпуска соответствующего патча.
Т.к. нормальной практикой является сначала уведомить производителя и дождаться выпуска заплатки, а лишь затем раскрывать суть уязвимости.
Последний раз редактировалось Alexey P.; 12.07.2010 в 02:37.
The worst foe lies within the self...
-
-
Junior Member
- Вес репутации
- 53
Произойдет ли заражение, если в Тотале выставить настройку, чтоб показывало только ассоциированные значки?
-
Сообщение от
Julevar
Произойдет ли заражение, если в Тотале выставить настройку, чтоб показывало только ассоциированные значки?
Нет, если автор корректно программировал эти радиокнопки.
Опыт — это слово, которым люди называют свои ошибки.
-
-
значит кто юзает тотал, спит спокойно.
То, что не убивает нас, делает нас сильнее!
-
А у меня старый Тотал, видимо нужно сделать так?
-
Сообщение от
Игорь
А у меня старый Тотал, видимо нужно сделать так?
подозреваю что всё это особенности перевода:
у Julevar настройка выглядит как "все ассоциированные"
в моем тотале эта же настройка - "все связанные"
а у вас судя по всему - "все"
т.к. глянула в английском варианте у меня этот пунктик выглядит как "All"
хотя "не показывать значки" тоже неплохой выбор )
Последний раз редактировалось Юльча; 13.07.2010 в 23:46.
Дуракам закон не писан, если писан, то не читан, если читан, то не понят, если понят, то не так...
-
Да, действительно, тонкости перевода.
-
а при блокировке запуска исполняемых файлов с флешки уязвимость сработает?
список назначенных типов файлов там же в политике..
или нужно донастроить что-то особое? т.е. вручную добавить нужное расширение в назначенные типы файлов
Последний раз редактировалось Юльча; 15.07.2010 в 09:54.
Причина: исправлено
Дуракам закон не писан, если писан, то не читан, если читан, то не понят, если понят, то не так...
-
Юльча, это баг в винде, дыра.. Поэтому сработает
Left home for a few days and look what happens...
-
-
Угу, тем более в обсуждаемом случае не exe стартует, dll. Похоже, через regsvr32, но точно не знаю.
-
-
понимаю что дыра но не понимаю как работает.. вот и уточняю.
что конкретно стартует с флешки?
кроме особой иконки к ярлыку юзающей баг там ничего вредоносного нет?
ну должен же быть способ
Последний раз редактировалось Юльча; 15.07.2010 в 12:07.
Дуракам закон не писан, если писан, то не читан, если читан, то не понят, если понят, то не так...
-
-
-
Привыкаю работать без иконок, что бы быть готовым встретить отважную "шестёрку" на флешке.
Последний раз редактировалось Игорь; 19.07.2010 в 18:39.
-
Сообщение от
Игорь
Привыкаю работать без иконок
сертификат уже отозвали, основные вендоры уже и *lnk и остальные компоненты находят, так то можно и (почти) расслабиться))))
The worst foe lies within the self...
-
-
The worst foe lies within the self...
-