В конце прошлой недели эксперты в области безопасности из белорусской антивирусной компании VirusBlokAda обнаружили новый вредоносный код, который активно эксплуатирует уязвимость операционной системы Windows. Новые вредоносные программы, компоненты которых были обнаружены продуктами VirusBlokAda, названы Trojan-Spy.0485 и Malware-Cryptor.Win32.Inject.gen.2, и распространяется через съемные устройства хранения данных. Найденную уязвимость относят к типу «zero day», это название условно обозначает любое вирусное ПО, для которого еще не написан патч. Интересно, что для заражения компьютеров функция Windows AutoRun не используется. Вместо этого новая уязвимость «нулевого дня» позволяет автоматически выполнять вредоносный код при просмотре специально созданных .lnk-файлов - ярлыков, которые можно открыть в Windows Explorer или любом другом файловом менеджере.
Специалисты считают, что найденные вредоносные программы предназначены для промышленного шпионажа, так как они выглядят так, словно сделаны под системы SCADA, используемые для мониторинга и контроля важных операций в промышленности. Вредоносная программа устанавливает два руткита, которые функционируют как системные драйвера и называются mrxnet.sys и mrxcls.sys. Продуктами VirusBlokAda они обнаруживаются как Rootkit.TmpHider и SScope.Rookit.TmpHider.2. Удивительно, но их цифровая подпись совпадает с цифровой подписью продуктов, выпускаемых корпорацией Realtek Semiconductor.
Спустя короткое время после заявления специалистов VirusBlokAda, компания Microsoft выпустила срочный бюллетень, в котором подтвердила наличие критической уязвимости, затрагивающей все версии Windows, и позволяющей выполнение произвольного кода. Причем, для того, чтобы запустить вредоносную программу, даже не нужно нажимать на ярлык, как только пользователь открывает диск с Windows Explorer или любым другим приложением, которое способно анализировать иконки для ссылок, код злоумышленника запускается на системе жертвы.
По словам Microsoft, все версии Windows, начиная от Windows XP с Service Pack 3, включая 32-х и 64-х битные системы, подвержены критической уязвимости. Кроме того, Windows 2000 и Windows XP SP2, которые официально больше не поддерживаются Microsoft, также находятся в опасности. Еще более неприятная информация для фанатов Windows пришла в понедельник, 19 июля. Оказалось, что обе новенькие системы Windows 7 с бета-версией первого пакета обновлений и Windows Server 2008 R2 SP1 Beta также страдают от уязвимости. Однако функция автозапуска для сменных носителей в этих системах выключена по умолчанию, так что вероятность заражения для них в какой-то степени снижена. И хотя вредоносные коды распространяются через USB устройства, найденная ошибка сама по себе может быть использована через сетевые ресурсы и WebDAV.
Итак, что же в данной ситуации предлагает делать Microsoft? Ну, во-первых, дождаться патчей безопасности, а во-вторых, проявлять бдительность, не позволяя засовывать в свой компьютер подозрительные съемные USB носители. Кроме того, пользователи, чьи аккаунты настроены таким образом, чтобы не давать права доступа другим пользователям в локальной сети, меньше подвержены заражению, чем пользователи, работающие с административными правами.
Когда функция автозапуска съемного носителя отключена, следует запустить вручную Windows Explorer или подобное приложение, и указать путь к корневой папке съемного диска. Блокировка исходящих подключений SMB по периметру брандмауэра позволит сократить риск удаленной эксплуатации использованием общих файловых ресурсов.
Microsoft предлагает и другие способы защиты собственного компьютера, которые мы кратко перечислим:
• Отключение отображения иконок для ссылок, после этого ярлыки не будут иметь значка отображения;
• Отключение сервиса WebClient, это поможет защитить пострадавшие системы от попыток воспользоваться этой уязвимостью;
• Посетить Windows Update и проверить компьютер на актуальность обновлений, а кроме того, убедиться, что вы пользуетесь надежным антивирусным продуктом.