Новый способ заражения

17 июня специалистами компании "ВирусБлокАда" (www.anti-virus.by) были впервые обнаружены модули новой вредоносной программы. В процессе анализа выяснилось, что вирус распространяется через USB-накопители. При этом заражение происходит не известным ранее способом через файл autorun.inf, а через уязвимость в обработке lnk-файлов. Таким образом, пользователю достаточно открыть инфицированный накопитель в Microsoft Explorer или в любом другом файловом менеджере, который умеет отображать иконки в lnk-файлах (к примеру, Total Commander), чтобы произошло заражение системы, и вредоносная программа получила управление.

Получив управление, вредоносная программа заражает систему, внедряя в нее два драйвера: mrxnet.sys и mrxcls.sys. Особенность данных драйверов состоит в том, что они подписаны цифровой подписью, сертификат на которую выдан известной компании Realtek Semiconductor Corp. После установки драйверов происходит загрузка вредоносного кода в системные процессы, а также скрываются следы присутствия инфицированных файлов на USB-накопителе. Поэтому пользователь и не видит "лишние" файлы на флэшке.

Таким образом, данную вредоносную программу можно отнести к категории наиболее опасных, т.к. в ней используются технологии, представляющие риск для заражения многих компьютеров и начала вирусной эпидемии.

Версия для печатиВерсия для печати

Номер: 

27 за 2010 год

Рубрика: 

Защита информации
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!

Комментарии

Страницы

Аватар пользователя mike
>вредоносная программа заражает систему, внедряя в нее два драйвера: mrxnet.sys и mrxcls.sys.

Вредоносы: "Вы ещё на Винде? Тогда мы идём к вам!"

Аватар пользователя Al
Майк, ну не солидно. )))
Аватар пользователя mike
А заражаться -- солидно?
Аватар пользователя Al
Я честно скажу - не помню, когда в последний раз мой комп ловил вирус. Точнее, заражался. А вирусы как раз ловил. ))) И это - под ХР и 7. Так что не надо на ось кивать.
Аватар пользователя mike
>Не надо на ось кивать.

Кому ВиндА, а кому мать роднА. Al'ю, ессно, последнее, а большинству -- НЛО. Так заражают, что слов нет. А ведь им комп всего-то для видео, общения, игр, иногда книгочтения, да пишмаш. Убунту им -- самое то: полный дрочпакет, и никаких вирусов!

Аватар пользователя Savely
Хм, автора нет, а очень хочется узнать...

Фраза

"они подписаны цифровой подписью, сертификат на которую выдан известной компании Realtek Semiconductor Corp."

меня несколько убивает... С какого испуга Ралтеку дали право выдавать сертификаты? Или я что-то пропустил в жизни?

Аватар пользователя igorsk
2Savely: драйвера к сетевухам ведь надо подписывать.

Похоже стырили сертификат из внутренней сети риалтека.

Аватар пользователя Savely
Однако, жара, сорри

>выдан известной компанИИ

было прочитано мной как

>выдан известной компанИЕЙ

Аватар пользователя вирус
хоть бы написали подробнее как происходит заражение. причем тут иконки?
Аватар пользователя Инкогнито
Как-то это все мутно. Про технолошию зараженя мутно; на сайте ВБА самая свежая новость про вирусню - от 16-го июля, а в статье написано, что "обнаружены модули" 17-го. А что за модули, в чем, где?

Страницы