17 июня специалистами компании "ВирусБлокАда" (www.anti-virus.by) были впервые обнаружены модули новой вредоносной программы. В процессе анализа выяснилось, что вирус распространяется через USB-накопители. При этом заражение происходит не известным ранее способом через файл autorun.inf, а через уязвимость в обработке lnk-файлов. Таким образом, пользователю достаточно открыть инфицированный накопитель в Microsoft Explorer или в любом другом файловом менеджере, который умеет отображать иконки в lnk-файлах (к примеру, Total Commander), чтобы произошло заражение системы, и вредоносная программа получила управление.
Получив управление, вредоносная программа заражает систему, внедряя в нее два драйвера: mrxnet.sys и mrxcls.sys. Особенность данных драйверов состоит в том, что они подписаны цифровой подписью, сертификат на которую выдан известной компании Realtek Semiconductor Corp. После установки драйверов происходит загрузка вредоносного кода в системные процессы, а также скрываются следы присутствия инфицированных файлов на USB-накопителе. Поэтому пользователь и не видит "лишние" файлы на флэшке.
Таким образом, данную вредоносную программу можно отнести к категории наиболее опасных, т.к. в ней используются технологии, представляющие риск для заражения многих компьютеров и начала вирусной эпидемии.
Версия для печати
Комментарии
Страницы
Вредоносы: "Вы ещё на Винде? Тогда мы идём к вам!"
Кому ВиндА, а кому мать роднА. Al'ю, ессно, последнее, а большинству -- НЛО. Так заражают, что слов нет. А ведь им комп всего-то для видео, общения, игр, иногда книгочтения, да пишмаш. Убунту им -- самое то: полный дрочпакет, и никаких вирусов!
Фраза
"они подписаны цифровой подписью, сертификат на которую выдан известной компании Realtek Semiconductor Corp."
меня несколько убивает... С какого испуга Ралтеку дали право выдавать сертификаты? Или я что-то пропустил в жизни?
Похоже стырили сертификат из внутренней сети риалтека.
>выдан известной компанИИ
было прочитано мной как
>выдан известной компанИЕЙ
Страницы