Szpiegowski trojan
Bia艂oruska firma VirusBlokAda informuje o odkryciu nowego konia troja艅skiego, kt贸ry prawdopodobnie wykorzystuje nieznan膮 dotychczas dziur臋 w Windows. Z przeprowadzonych analiz wynika, 偶e szkodliwy kod dosta艂 si臋 z klipsu USB na w pe艂ni za艂atany 32-bitowy Windows 7. Trojan nie wykorzystuje mechanizmu autostart, ale luk臋 w kodzie odpowiedzialnym za przetwarzanie skr贸t贸w (pliki .lnk). Po wy艣wietleniu si臋 takiego skr贸tu w Windows Explorerze, dochodzi do uruchomienia si臋 szkodliwego kodu. Instaluje on w贸wczas dwa rootkity, kt贸re maj膮 ukry膰 jego obecno艣膰. Co ciekawe, rootkity wykorzystuj膮 klucze cyfrowe firmy RealTek, wi臋c ich instalacja nie wywo艂uje alarmu systemowego. Od niedawna wiadomo, 偶e pojawia si臋 coraz wi臋cej szkodliwego kodu z kluczem cyfrowym, co ma u艣pi膰 mechanizmy obronne Windows. Dalsze analizy pokaza艂y, 偶e trojan to do艣膰 specyficzny i wyspecjalizowany kod, zatem nie powinno doj艣膰 do infekcji na szerok膮 skal臋. Wiadomo natomiast, 偶e trojan zadaje zapytania systemowi SCADA. Jest on wykorzystywany przez wiele agend rz膮dowych oraz liczne przedsi臋biorstwa, co wskazuje, 偶e nowo odkryty trojan ma zajmowa膰 si臋 szpiegostwem przemys艂owym oraz kradzie偶膮 tajemnic pa艅stwowych.
Microsoft zosta艂 poinformowany o problemie, jednak firmowym specjalistom nie uda艂o si臋 dotychczas odtworzy膰 ataku. Dzieje si臋 tak, gdy偶 szkodliwy kod jest powi膮zany z konkretnym kluczem USB i plikiem .lnk, a wi臋c nie mo偶na go po prostu uruchomi膰 na dowolnym komputerze.
殴r贸d艂o: ArcaBit |