|
Jak informuje nas Arkadiusz Zakrzewski specjalista pomocy technicznej AVG.pl, namierzona została nowa infekcja, która z nośnika wymiennego potrafi zainfekować komputer z wyłączoną w systemie Windows funkcją autostartu.
Dotychczas najczęściej polecane zabezpieczenie poprzez wyłączenie autostartu w urządzeniach USB w systemie Windows dawało poczucie bezpieczeństwa, jednak od 16 lipca takie rozwiązanie jest już niestety niewystarczające.
Pendrive’y i podobne przenośne media zajmują niechlubne miejsce w czołówce sposobów na zainfekowanie komputera. Dotychczas najczęściej polecaną metodą na zabezpieczenie się przed atakami Worm/Autorun z nośników wymiennych było wyłączenie autostartu urządzeń USB w systemie Windows. Jak pisze na blogu (http://techblog.avg.pl) Arkadiusz Zakrzewski cytując swojego kolegę z laboratorium AVG Technologies, namierzona została infekcja, która z nośnika wymiennego potrafi zainfekować komputer z wyłączoną w systemie Windows funkcją autostartu.
Atak wykorzystuje pliki dostępne już od zarania dziejów (tzn. od powstania Windowsów) – skróty z rozszerzeniem *.lnk. A jak dokonuje się infekcja? Wykorzystywany jest dowolny menedżer plików wyświetlający ikony – np. Windows Explorer, Total Commander i im podobne. Dwa pliki, które trafiły do analizy w laboratorium, to fałszywe sterowniki. Pierwsza poważna sprawa to fakt, że jeden z nich miał poprawny podpis cyfrowy informujący, że wydawcą jest Realtek Semiconductor Corp. Taki podpis wprowadza w błąd zdecydowaną większość programów antywirusowych, bo plik podpisany poprawnym, ważnym certyfikatem uważany jest za zdrowy. Certyfikat wykorzystany do infekcji został już deaktywowany i walidacja jego ważności kończy się aktualnie niepowodzeniem.
Wracając jednak do sposobu infekcji, po raz pierwszy plik *.lnk został wykorzystany jako sposób na wprowadzenie rootkita! Poniższy zrzut ekranu to przykładowy zestaw plików ukrytych na nośniku: 
Pliki te są niewidoczne dla użytkownika z domyślnie skonfigurowanymi opcjami folderów (czyli z zaznaczonym polem Nie pokazuj plików ukrytych lub systemowych).
Infekcja następuje w chwili podłączenia pendrive’a zainfekowanego takim zestawem plików i wyświetlenia jego zawartości w dowolnym menedżerze plików obsługującym ikony.
Na dysku lądują pliki:
%system%\Drivers\mrxcls.sys
%system%\Drivers\mrxnet.sys
A w rejestrze powstają wpisy dla nowych usług uruchamiających infekcję.
Po utworzeniu wpisów o usługach, przy najbliższym starcie systemu aktywuje się rootkit. Infekcja następuje z wykorzystaniem Process Injection (wstrzyknięcie procesu w przestrzeń adresową innego działającego programu) i API hooking (przechwytywanie wywołań systemowych).
Rootkit wprowadza infekcję w następujące procesy:
lsass.exe
svchost.exe
services.exe
Póki co namierzone zostały dopiero dwie mutacje wykorzystujące powyższą – jak podkreśla Arek Zakrzewski nową – metodę ataku. Nie wiadomo, jaki będzie dalszy rozwój wydarzeń. Jeśli cyberprzestępcy zechcą wykorzystać ten sposób do szerzenia kolejnych infekcji, to jesteśmy zdani na Microsoft, aż załata problem w systemach Windows. Wsparcie techniczne MS zna już problem – możemy więc mieć nadzieję, że zareagują na niego odpowiednio szybko i zamkną furtkę dla infekcji używających luk w obsłudze windowsowych plików *.lnk. Źródło: PI Core
|
Bezpieczeństwo 
Masz pytanie?
