Podjetje F-Secure opozarja na novega trojanskega konja, ki za širjenje izkorišča doslej neznano ranljivost operacijskega sistema Windows
Sobota, 17. julij 2010 - 08:30
Za okužbo računalnika zadošča, da uporabnik v Raziskovalcu pogleda vsebino USB ključka, ki vsebuje prirejeno datoteko .LNK. Poizkuša se prijaviti na podatkovno bazo nadzornega sistema, ki se uporablja v industrijskih okoljih.
V zadnjih dneh se je v različnih državah pojavil nov trojanski konj, ki izkorišča doslej neznano ranljivost operacijskega sistema Windows.
Trojanski konj se sproži, če uporabnik v raziskovalcu zgolj pogleda vsebino mape na USB ključku, ki vsebuje ustrezno prirejeno datoteko .LNK. Takoj zatem se trojanski konj namesti in skrije svojo prisotnost (njegove datoteke izginejo).
Napaka, ki omogoča samodejno izvajanje, je prisotna v vseh sodobnih operacijskih sistemih Microsoft Windows (XP SP3, Vista, 32-bitni Windows 7). Napaka je prisotna tudi v operacijskih sistemih, za katere Microsoft ne bo pripravil popravka (Windows 2000 in Windows XP SP2).
Posebnost je tudi, da je trojanski konj podpisan z digitalnim podpisom podjetja "Realtek Semiconductor Corp". Veljavnost certifikata, s katerim je podpisan, je sicer potekla 12. junija 2010. Varianta D (Rootkit:W32/Stuxnet.D) je podpisana z veljavnim digitalnim podpisom drugega podjetja in sicer "JMicron Technology Corporation" (ta certifikat je veljaven do 25. julija 2012).
Poleg dejstva, da trojanski konj izkorišča doslej neznano ranljivost, se poizkuša prijaviti tudi na podatkovne baze sistemov Siemens SIMATIC WinCC, ki se uporabljajo v industrijskih okoljih (med uporabniki so elektrarne, kemična industrija, ...). Zaradi tega obstaja sum, da je bil trojanski konj razvit za potrebe industrijskega vohunjenja.
Sean Sullivan, svetovalec za varnost pri podjetju F-Secure, je povedal: “Napaka je nevarna in razmere so zelo resne, dokler Microsoft ne pripravi popravka. Še posebej so ogroženi uporabniki operacijskega sistema Windows XP SP2, saj le-ta ni več podprt in Microsoft zanj ne bo pripravil popravka. Glede na statistike podjetja F-Secure mnogi še vedno uporabljajo XP SP2.”
Poleg tega naj predvsem podjetja razmislijo o pogojih uporabe naprav USB. “Ogroženost podjetij se lahko zmanjša, če imajo podjetja ustrezna pravila glede uporabe naprav USB”, pravi Sullivan.
Programi podjetja F-Secure datoteke, ki izkoriščajo novo ranljivost, prepoznajo pod imenom Exploit:W32/WormLink.A .
Microsoftova stran z informacijami o ranljivosti:
www.microsoft.com/technet/security/advisory/2286198.mspx
Informacije o popravku:
Popravek napake, ki omogoča samodejen zagon datotek preko napake v prikazu ikon datotek LNK