Уязвимость в Windows 7 используется для шпионажа?
Почти год назад компания Microsoft выпустила относительно безопасную операционную систему – Windows 7. Пытаясь еще больше защитить ее, компания продолжает выпускать заплатки к обнаруживаемым в ней уязвимостям. Однако, как и в случае с любой другой ОС, дыры в защите новинки все еще присутствуют. И увеличение популярности Windows 7 среди пользователей вызывает у хакеров желание их отыскать.
Атака начинается с момента подключения к инфицированному компьютеру USB-накопителя. В этот момент на накопитель записывается вредоносная программа, которая умело скрывается под видом драйверов - "mrxnet.sys" и "mrxcls.sys", в которых присутствует цифровая сигнатура Realtek Semiconductor Corp (скорее всего украденная). В результате на накопителе оказывается и сама вредоносная программа и скрывающие ее драйвера.
Инфицирование следующего компьютера происходит при подключении к нему этого накопителя. Если доверчивый пользователь следует запросу операционной системы и выбирает опцию автопроигрывания или открытия накопителя в проводнике Windows, то происходит автоматический запуск вредоносной программы с инфицированием машины.
И хотя автопроигрывание/автозапуск в большинстве Windows 7 по умолчанию выключен, просмотр корневой папки USB накопителя или разрешение автопроигрывания для USB накопителей, может стать началом атаки.
Белорусская антивирусная компания VirusBlokAda вошла в число первых, кто заметил распространение новой опасности. Немногим ранее она описала работу вируса, заявив, что он использует необычный способ распространения. В частности программа использует незакрытую пока уязвимость с обработкой ярлыков файлов (которая, к слову, присутствует не только в Windows 7, но и во многих других Windows, начиная с Windows XP). В результате же, для заражения достаточно открыть зараженный USB накопитель при помощи проводника Windows или при помощи любого другого менеджера файлов, отображающего иконки (например, Total Commander).
Впрочем, история на этом не заканчивается. Если одни люди считают, что подобные вредоносные программы могут использоваться для краж номеров кредитных карт и персональной информации пользователей, то исследователь в области безопасности Франк Болдуин (Frank Boldewin), изучивший полученную программу, обнаружил, что у нее есть вполне определенная цель – вредоносная программа пытается инфицировать системы Siemens WinCC SCADA.
Для чего используются эти системы? Зачастую они применяются на крупных производствах и электростанциях. И ориентация вредоносной программы на них позволяет предположить, что это своего рода промышленный шпионаж, который может быть полезен некоторым странам. Впрочем, весьма вероятно, что в ближайшем будущем умельцы ориентируют вирус и против обычных пользователей.
Стоит отметить, что Microsoft пока не ответила на заявление VirusBlokAda. Однако она уже признала наличие проблемы. По словам представителя компании, Microsoft исследует сообщения о распространении новой вредоносной программы через USB накопители.
Компания уже работает над исправлением. Пока же она пользователям для защиты своих систем временно отключить отображение иконок и сервис WebClient.
www.winline.ru