VirusBlokAda, антивирусная компания из Беларуссии, заявила о том, что 17 июня ее специалисты нашли два новых образца вредоносных кодов, которые способны инфицировать Windows 7 при просмотре содержимого USB-диска через Windows Explorer.
Большинство вредоносных программ, которые распространяются через USB-носители, традиционно используют Windows Autorun или Autoplay. Но, по словам исследователей VirusBlokAda, данный вирус использует уязвимость в методе обработки ярлыков (*.lnk).
Ярлыки файлов представляют собой ссылки на исполняемые файлы и, как правило, размещены на рабочем столе пользователя или в меню "Пуск". В теории ярлык ничего не делает, пока пользователь не нажимает на его иконку. Но исследователи VirusBlokAda обнаружили, что инфицированные файлы ярлыков в состоянии выполняться автоматически, если они записаны на USB-диск, который впоследствии будет открываться через Windows Explorer.
"Пользователь должен просто открыть зараженное USB-устройство через Windows Explorer или любой иной файловый менеджер, который может отображать иконки (например, Total Commander), чтобы заразить операционную систему и разрешить выполнение вредоносного ПО" - пишет Сергей Уласен, эксперт VirusBlokAda, в статье, опубликованной в этом месяце.
Уласен пишет, что вредоносная программа устанавливает два драйвера: "mrxnet.sys" и "mrxcls.sys.". Эти файлы используются для сокрытия вредоносного ПО на USB-устройстве. Интересно, что эти файлы драйвера подписаны цифровой подписью Realtek Semiconductor Corp., вполне легальной и законной компании в сфере hi-tech.
Уласен сказал, что обратился в Microsoft и в Realtek, и получил ответы от Джерри Брайанта (Jerry Bryant), руководителя группы быстрого реагирования Microsoft, который заявил следующее: "Microsoft изучает информацию о новой уязвимости, и как только мы завершим расследование, мы предпримем соответствующие меры для защиты пользователей". Microsoft, со своей стороны, уже опубликовало предварительное уведомление по поводу данной уязвимости.
Подобный метод распространения вредоносного ПО может стать весьма популярным, но даже на сегодняшний день эта угроза представляется достаточно серьезной: независимый исследователь в сфере безопасности Фрэнк Болдуин (Frank Boldewin) сказал, что он имел возможность изучить образцы вредоносного ПО, и он утверждает, что, судя по всему, вредоносный код создавался для систем Siemens WinCC SCADA или иных систем, осуществляющих контроль над крупными, распределенными системами наподобие заводов и электростанций.
"Похоже, что этот код был создан в целях шпионажа" - считает Болдуин.