Nowa, groźna i ciekawa luka w Windows 7

Jak donosi tajemniczy ekspert z bloga niebezpiecznik.pl, ukrywający się pod pseudonimem igH, pojawiła się nowa ciekawa luka w Windows 7.

Jedna z białoruskich firm antywirusowych o wdzięcznej nazwie VirusBlokAda, wpadła na ślad nowego malware'u, który jest w stanie zainfekować w pełni załatany Windows 7 korzystając z błędu w przetwarzaniu plików .lnk. Jak narazie jedynie trzy antywirusy wykrywają to zagrożenie.

Malware-Cryptor.Win32.Inject.gen.2 / Trojan-Spy.0485

 

Aby zostać zainfekowanym, wystarczy jedynie wyświetlić zawartość dysku USB za pomocą dowolnego programu, który automatcznie pokazuje ikonki plików (np. Total Commander czy Windows Explorer). Malware, któremu nadano nazwę Malware-Cryptor.Win32.Inject.gen.2 / Trojan-Spy.0485, rozprzestrzenia się przez zewnętrzne dyski USB, wykorzystując błąd Windowsa w przetrwarzaniu plików linków (skrótów) .lnk a nie jak większość tego typu malware'u, korzystając z funkcji autorun.

Malware instaluje w systemie sterowniki "mrxnet.sys? (Rootkit.TmpHider) i "mrxcls.sys? (SScope.Rookit.TmpHider.2). Co ciekawe, oba podpisane cyfrowo przez Realtek Semiconductor Corp.). Sterowniki służą ukryciu plików rootkita na dysku USB.

Szpiegowski trojan?

 

Malware przeszukuje system pod kątem oprogramowania Siemens WinCC SCADA, wykorzystywanego do sterowania procesami w dużych systemach przemysłowych (np. elektrownie). Na tej podstawie badacze wysnuli wniosek, że trojan zostało stworzone do celów szpiegowskich.

Po dodaniu sygnatur wirusa do baz antywirusowych okazało się, że sporo Windowsów na świecie jest już zainfekowanych Microsoft bada sprawę błędu w obsłudze linków - nie wiadomo jednak jeszcze, kiedy pojawi się patch.

igH/Niebezpiecznik.pl

Więcej o: