Мирт и гуава: Эпизод 1

Несколько дней назад коллеги из белорусской антивирусной компании VirusBlokAda (VBA) сообщили об обнаружении интересной новой вредоносной программы.

Также ими был опубликован небольшой анализ, в котором сделан вывод о наличии двух значительных «инноваций», использованных вирусописателями в данной программе:

1. Использован ранее не применявшийся способ запуска файлов с съемных USB-накопителей при помощи LNK-файлов.
2. Вредоносные драйвера обладают легальной цифровой подписью компании Realtek.

Я рекомендую и нашим читателям ознакомиться с данным документом и благодарю экспертов VBA за их исследование. Отличный ресерч, парни!

Эксперты Лаборатории Касперского провели собственный анализ вредоносной программы и тоже нашли кое-что интересное.

Прежде всего следует отметить способ распространения данного Trojan-Dropper.Win32.Stuxnet. Троянец заражает «флешки», создавая на них 4 lnk-файла:

"Copy of Copy of Copy of Copy of Shortcut to.lnk"
– запускает \\.\STORAGE#RemovableMedia#7&[ID]&0&RM#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}\~WTR4141.tmp

"Copy of Copy of Copy of Shortcut to.lnk"
– запускает \\.\STORAGE#RemovableMedia#8&[ID]&0&RM#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}\~WTR4141.tmp

"Copy of Copy of Shortcut to.lnk"
– запускает \\.\STORAGE#Volume#1&19f7e59c& 0&_??_USBSTOR#Disk&Ven_&Prod_U SB_FLASH_DRIVE&Rev_PMAP#079801 8356734E4F&0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}\~WTR4141.tmp

"Copy of Shortcut to.lnk"
– запускает \\.\STORAGE#Volume#_??_USBSTOR #Disk&Ven_&Prod_USB_FLASH_DRIV E&Rev_PMAP#0798018356734E4F&0# {53f56307-b6bf-11d0-94f2-00a0c91efb8b}#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}\~WTR4141.tmp
(~WTR4141.tmp – основной файл вредоносной программы)


Интересно то, что в первых двух файлах, используется ID – уникальный номер флешки для данного компьютера.

До сих пор автозапуск файлов с дисков был привилегией autorun.inf. Эта «фича» ОС Windows уже давно стала обьектом жестокой критики со стороны экспертов по безопасности и одним излюбленных приемов для распространения вирусов – они сформировали целый класс Worm.Win32.Autorun, насчитывающий несколько десятков тысяч различных угроз.

Но, к autorun.inf и стартуемым из него вредоносам мы уже относительно привыкли (и научились бороться). А вот LNK-файлы – это действительно нечто новое. Для них можно зарезервировать класс “Linkrun”

Мы не беремся пока вынести окончательный вердикт – является ли этот трюк реальной неизвестной уязвимостью в OC Windows или же это очередная «фича» разработчиков компании из Редмонда. Впрочем, они уже были извещены о проблеме и, вероятно, в ближайшие дни мы узнаем истину.

Но это только первая часть нашего небольшого обзора. Название «Мирт и гуава» тут тоже неспроста.

Доступно обновление продуктов Dr.Web 6.0 для Windows

Компания "Доктор Веб" обновила ряд компонентов в продуктах Dr.Web версии 6.0 для защиты рабочих станций и серверов Windows (32- и 64-разрядные системы). Благодаря сделанным исправлениям был повышен общий уровень безопасности защищенных систем, а также возросло удобство работы с антивирусом.

Исправления были внесены в модуль обновления, антивирусный агент, модуль веб-антивируса SpIDer Gate, почтовый монитор SpIDer Mail и модуль самозащиты Dr.Web SelfPROtect. В модуле обновления были устранены причины возможных сбоев при обновлении вирусных баз на серверах под управлением Windows Server 2008 R2 (64-разрядные системы). В антивирусном агенте исправлено некорректное отображение всплывающих окон — периодически эти окна могли появляться не на своем месте, причиняя неудобства пользователям.



Некоторые изменения были внесены в модуль веб-антивируса, отвечающий за функцию Родительского контроля. Теперь с помощью этой функции пользователь может обеспечить защиту любого локального диска (за исключением системного) целиком. В связи с этим был обновлен и модуль самозащиты. Эти изменения позволяют достичь максимального уровня защиты данных от похищения или удаления. Также была устранена причина нарушения отображения страниц сервиса блогов LiveJournal, содержащих сложное форматирование, при включенном SpIDer Gate. Кроме того, была исправлена ошибка модуля, проявлявшаяся при входе в систему: при большом размере лога появлялось системное сообщение «Ошибка создания файла событий».

Для пользователей продуктов Dr.Web версии 6.0 для защиты рабочих станций и серверов Windows обновления компонентов пройдут автоматически.