USB троян. Принципы работы.

Новая троянская  прогушка, имеет две необычные отличительные особенности. Во-первых, она распространяется через USB-накопители новым способом, а во-вторых, вредонос имеет легальную цифровую подпись компании Realtek. Что означает, её пропустят антивири. Бэз проблем.)))

Итак, начнём.

Традиционный способ распространения Windows-вирусов через флешки использует файл автозапуска autorun.inf. Таким умением, к примеру, обладает великий и ужасный Conficker, который уже второй год то и дело устраивает переполохи в различных локальных сетях. А ведь красав звэрь? Далее поехали...

Этот же троянец использует уязвимость в обработке lnk-файлов, то есть файлов-ярлыков. Пользователю достаточно открыть инфицированный накопитель в Microsoft Explorer или в любом другом файловом менеджере, который умеет отображать иконки в lnk-файлах (к примеру, Total Commander), чтобы произошло заражение системы, и вредоносная программа получила управление". Сидите на старой версии Коммандера, работает отлично! Кто купил? Плачьте, кто купил сею наудобнейшею прогушку, моя взломана. Ишшо пасибки сказала. Аха? За взлом, гыы,))) Двигаемся дальше.

При заражении компьютера в систему внедряются два sys-файла, которые призваны скрывать присутствие заражённых файлов в системе и на сменном накопителе. Особенность этих "драйверов" состоит в том, что они подписаны цифровой подписью компании Realtek Semiconductor Corp.

Эксперт "Лаборатории Касперского" Александр Гостев проверил эту подпись на сайте Verisign и выяснил, что такой сертификат действительно был выдан на имя Realtek.  Гдет у Касперыча есть, статья об этом. Простите и пинайт, ссылку потеряла.... Если считают, что сертификат перестал действовать. От ошибаются. Создатель свою красотулю не бросает и усовершенствует. Воруются новые ключи сертификата или генерируются. Так, что, работает!

"Все эти факты указывают на то, что в данном случае  есть возможность  подписывать файлы подписью от Realtek – сделал это: подписал троянца",

Лаборатория Каспера рыдает по этому поводу...Эксперт "Лаборатории Касперского" не взялся строить более конкретные предположения на этот счёт, но, очевидно, имеется два наиболее вероятных варианта: либо у вирусописателей имеется или имелся инсайдер в Realtek, либо они ухитрились пролезть в компьютерную сеть компании. Точнее может сказать только расследование при участии Realtek, однако здесь пока не отреагировали на уведомление, отправленное им специалистами "ВирусБлокАда". Вот, вот, или ... или? Гадайте на таро!

Что до уязвимости в обработке lnk-файлов, , что "это не баг, это фича", как было и в случае с AutoRun. Microsoft также получил извещение о проблеме,  и пока решает....

В "Лаборатории Касперского" новый троянец получил название Stuxnet.

Поймай его ещё!