Internet

Robak atakujący przez USB nadal aktywny

przeczytasz w 2 min.
Marcin Sieradzki | Redaktor serwisu benchmark.pl
Autor:MarcinSieradzki
4 komentarzeDyskutuj z nami

W ostatnich dniach informowaliśmy o groźnej luce w zabezpieczeniach Windows. Umożliwia ona uruchomienie złośliwego kodu. W trosce o wasze bezpieczeństwo uzupełniamy tę informacje o dodatkowe szczegóły.

Ryzyko ataku i infekcji dotyczy wszystkich użytkowników każdej z obecnie używanych wersji systemu Microsoft Windows.  Warto zaznaczyć, że szkodliwe oprogramowanie, które jako pierwsze skorzystało z tej luki, wydawało się nastawione w szczególności na systemy SCADA. Są to systemy powszechnie stosowane w zakładach komunalnych do sterowania dostawami m.in. wody i energii elektrycznej, a także w produkcji masowej.

Luka ta sprawia, że użytkownik oglądający zawartość folderu, gdzie znajduje się pewien skrót, jest narażony na infekcję, nawet jeśli nie kliknie tego skrótu dwukrotnie ani nie wyświetli kryjącego się pod nim dokumentu.  Niebezpieczeństwo wynika zwłaszcza z funkcji automatycznego uruchamiania urządzeń USB, ponieważ samo włożenie dysku USB powoduje automatyczne wyświetlenie folderów i stwarza zagrożenie dla użytkownika. 

Chociaż ta luka będzie najprawdopodobniej wykorzystywana głównie za pośrednictwem dysków wymiennych, to użytkownicy powinni uważać na wszystkie pliki skrótów, których autentyczności nie są pewni. Ta sama luka może być potencjalnie wykorzystana poprzez zainfekowane udziały plików lub nawet przez zwykły szkodliwy plik skompresowany, np. ZIP.

Zamiast umieszczać na dyskach stałych i wymiennych plik AUTORUN.INF i swoją kopię, wirus używany w tym ataku umieszcza na nich plik .LNK, który jest skrótem wskazującym na plik wykonywalny. Umieszczony w ten sposób plik .LNK korzysta ze wspomnianej luki, aby umieścić nową kopię wirusa (WORM_STUXNET.A) w innych systemach. Ponadto ten robak umieszcza rootkit, który służy mu do ukrycia jego procesów. Dzięki temu pozostaje niezauważony przez użytkownika, a badaczom trudniej jest przeanalizować jego działanie.

Ponieważ wirus korzystający z tej luki w zabezpieczeniach cały czas się rozprzestrzenia, możliwe są dalsze ataki.  Biuletyn Microsoft Security Advisory 2286198  zawiera instrukcje, jak dezaktywować wyświetlanie ikon skrótów oraz wyłączyć tymczasowo usługę WebClient, dopóki nie będzie dostępna poprawka.  

Jeśli chcesz upewnić się, że Twój komputer jest wolny od problemu, to możesz sprawdzić, czy Twój komputer nie jest zainfekowany, i usunąć infekcję, korzystając ze skanera Trend Micro HouseCall.

Źródło: Trend Micro

Polecamy artykuły:  
Najlepszebezpłatne gry do pobraniaTestGPGPU: NVIDIA Fermi vs ATI EvergreenChłodzenie przy 4.0 GHz - woda vs powietrze

Komentarze

4
Zaloguj się, aby skomentować
avatar
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    Gasek
    0
    Dzięki za scaner, jestem czysty;]
    • avatar
      Konto usunięte
      0
      Avira twierdzi, że ten House Call jest wirusem :| . I komu tu wierzyć...?
      • avatar
        Konto usunięte
        0
        A wszyscy się nabijali czemu w linuksie kiedyś montowało się nośniki ręcznie, bo to takie niewygodne ;)
        Poza tym w linuksie można nośniki montować z opcją noexec, i żaden skrypt się nie wykona. ;)
        • avatar
          NomadDemon
          0
          linuks od razu pokazuje wszystek syf na pendrive, wywalasz go i juz

          szczerze? na kazdym windowsie.. gdzie wsadzisz pendrive, cos zlapiesz... nie spotkalem sie jeszcze ze zdrowa maszyną pod kontrola windy