Новые вредоносные программы бойко используют уязвимость в Microsoft Windows Shell
Компания Eset, международный разработчик антивирусного ПО и решений в области компьютерной безопасности, сообщила о выявлении новых вредоносных программ, использующих уязвимость в программной оболочке Windows Shell. Ещё зафиксированы новые способы распространения подобных угроз.
В частности, вирусная лаборатория Eset фиксирует постоянный рост заражений червем Win32/Stuxnet. Выполнение вредоносного кода происходит благодаря наличию уязвимости в программной оболочке Windows Shell, связанной с отображением специально подготовленных LNK-файлов (LNK/Exploit.CVE-2010-2568), пояснили в компании.
Как и прогнозировали вирусные аналитики Eset, создание Win32/Stuxnet вызвало явление новых вредоносных программ, а также модификаций червя, использующего данную уязвимость. Для обнаружения подобных угроз специалисты вирусной лаборатории Eset создали отдельный класс сигнатур - LNK/Autostart.
По информации Eset, с помощью технологии раннего обнаружения ThreatSense.Net уже удалось выявить и другие программы, использующие уязвимость в Windows Shell. Речь идет о семействе Win32/TrojanDownloader.Chymine, которое относится к классу downloader-угроз. При установке на компьютер эта программа скачивает кейлоггер Win32/Spy.Agent.NSO, регистрирующий каждое нажатие клавиши на клавиатуре. Аналогичным образом происходит распространение трояна-загрузчика - Win32/Autorun.VB.RP, который также устанавливает на ПК вредоносное ПО. Помимо того, вирусными аналитиками было выявлено немного модификаций вируса Win32/Sality, а кроме того троянской программы Zeus, которые используют данную уязвимость. По данным Eset, Sality постоянно присутствует в десятке наиболее распространенных угроз в мире и может выполнять функции как трояна-загрузчика, так шпиона или кейлоггера; тогда как на счету Zeus миллионы зараженных компьютеров, объединенных в ботнет.
Примечательно, что на нынешний день распространение угроз, использующих уязвимость в Windows Shell, осуществляется не только через USB-носители. Сейчас заражение может совершаться через общие сетевые папки, а также благодаря нарочно сформированным файлам для офисного пакета Microsoft. Кроме того, сервер злоумышленников, с которого распространяется вредоносная программа, может формировать адрес веб-страницы определенного вида, посредством которого компьютер может быть атакован сквозь браузер.
"Ежедневно мы фиксируем несколько тысяч новых заражений Win32/Stuxnet, - отметил Александр Матросов, руководитель Центра вирусных исследований и аналитики компании Eset. - При этом страдают не только промышленные предприятия, но и домашние пользователи. И в ближайшее время мы прогнозируем рост числа вредоносных программ, использующих уязвимость в программной оболочке Windows Shell при обработке LNK-файлов".
Опубликовано: 30 июля 2010