Jedna z białoruskich firm antywirusowych o wdzięcznej nazwie VirusBlokAda, wpadła na ślad nowego malware'u, który jest w stanie zainfekować w pełni załatany Windows 7 korzystając z błędu w przetwarzaniu plików .lnk. Jak narazie jedynie trzy antywirusy wykrywają to zagrożenie.
Malware-Cryptor.Win32.Inject.gen.2 / Trojan-Spy.0485
Aby zostać zainfekowanym, wystarczy jedynie wyświetlić zawartość dysku USB za pomocą dowolnego programu, który automatcznie pokazuje ikonki plików (np. Total Commander czy Windows Explorer). Malware, któremu nadano nazwę Malware-Cryptor.Win32.Inject.gen.2 / Trojan-Spy.0485 , rozprzestrzenia się przez zewnętrzne dyski USB, wykorzystując błąd Windowsa w przetrwarzaniu plików linków (skrótów) .lnk a nie jak większość tego typu malware'u, korzystając z funkcji autorun.
Malware instaluje w systemie sterowniki " mrxnet.sys " (Rootkit.TmpHider ) i " mrxcls.sys " (SScope.Rookit.TmpHider.2 ). Co ciekawe, oba podpisane cyfrowo przez Realtek Semiconductor Corp.). Sterowniki służą ukryciu plików rootkita na dysku USB.
Szpiegowski trojan?
Malware przeszukuje system pod kątem oprogramowania Siemens WinCC SCADA , wykorzystywanego do sterowania procesami w dużych systemach przemysłowych (np. elektrownie). Na tej podstawie badacze wysnuli wniosek, że trojan zostało stworzone do celów szpiegowskich .
Po dodaniu sygnatur wirusa do baz antywirusowych okazało się, że sporo Windowsów na świecie jest już zainfekowanych Microsoft bada sprawę błędu w obsłudze linków - nie wiadomo jednak jeszcze, kiedy pojawi się patch.
igH/ Niebezpiecznik.pl
