Компания «ВирусБлокАда» сообщает об обнаружении вредоносной программы, использующей новую уязвимость для своего распространения

[Groft 65]

Модули данной программы были впервые обнаружены специалистами компании «ВирусБлокАда» ( www.anti-virus.by ) 17 июня 2010 года и добавлены в антивирусные базы как Trojan-Spy.0485 и Malware-Cryptor.Win32.Inject.gen.2. В процессе анализа было обнаружено, что вирус распространяется через USB-накопители. При этом заражение происходит не известным ранее способом через файл autorun.inf, а через уязвимость в обработке lnk-файлов. Таким образом, пользователю достаточно открыть инфицированный накопитель в Microsoft Explorer или в любом другом файловом менеджере, который умеет отображать иконки в lnk-файлах (к примеру, Total Commander), чтобы произошло заражение системы, и вредоносная программа получила управление.

Получив управление, вредоносная программа заражает систему, внедряя в нее два драйвера: mrxnet.sys и mrxcls.sys. Эти файлы были добавлены в антивирусные базы соответственно как Rootkit.TmpHider и SScope.Rookit.TmpHider.2. Особенность данных драйверов состоит в том, что они подписаны цифровой подписью, сертификат на которую выдан известной компании Realtek Semiconductor Corp. ( www.realtek.com ). После установки драйверов происходит загрузка вредоносного кода в системные процессы, а также скрываются следы присутствия инфицированных файлов на USB-накопителе. Поэтому пользователь и не видит “лишние” файлы на флэшке.

Таким образом, данную вредоносную программу можно отнести к категории наиболее опасных, т.к. в ней используются технологии, представляющие риск для заражения многих компьютеров и начала вирусной эпидемии.

После того, как нашими специалистами были добавлены записи в антивирусную базу на описанные выше вредоносные программы, в Технической Поддержке компании было зарегистрировано множество обращений с симптомами, указывающими на заражение Rootkit.TmpHider и SScope.Rookit.TmpHider.2 в нескольких точках мира

Источник

[Umnik 997]

Groft

И как с лечением активного заражения у VBA?

[strat 275]

интересная находка, теперь бессильны все отключения autorun, так чем же можно спастись? нужен патч от Мс? нас ждет эпидемия пока без патча?

[Killer 55]

Ерунда. Флехи открывайте в сендбоксе, но даже если уже заражены - имена драйверов известны, RkU в руки и вперед

Да и если у вас HIPS в драконическом режиме - все равно установку дров перехватит, даже от доверенных.

[strat 275]

по идее надо узнать, кто обрабатывает значки у lnk файлов и поставить ему ограниченные права, альтернатива, запрет чтения lnk. уж на флешке вряд ли кто-то носит много нужных таких файлов, обойдутся как нибудь, запустят ручками exe.

[Killer 55]

, кто обрабатывает значки у lnk файлов

системный обработчик, нодо думать. Но это не выход.

уж на флешке вряд ли кто-то носит много нужных таких файлов, обойдутся как нибудь, запустят ручками exe.

А вот это уже ближе к телу.

[Arakcheev 35]

ФАРом пользуйтесь.

[sergey ulasen 200]

И как с лечением активного заражения у VBA?

Umnik, вас, как сотрудника ЛК, этот вопрос в контексте данной новости действительно беспокоит больше всего ?

В аттаче дополнительная информация по данному трояну.

new_rootkit.pdf

new_rootkit.pdf

[Umnik 997]

sergey ulasen

Я, прежде всего, форумчанин. Меня интересует, может ли VBA бороться с активным заражением этим руткитом исключительно кнопкой "ПЫЩ"? В смысле - скан -> лечить; без выдергивания антируткитов из недр дистрибутива.

Далось вам это "сотрудник"... Да мало кто в компании знает, что я бываю на АМ. Из значимых людей только Гостев, Гудилин, Никишин и Русаков и им это как-то вообще побоку. Так что не опирайтесь на это в следующий раз особо, хорошо?

[A. 876]

Гостев, Гудилин, Никишин и Русаков

и им троим

упс

[Umnik 997]

(http://www.virustotal.com/ru/analisis/9c891edb5da763398969b6aaa86a5d46971bd28a45

5b20c2067cb512c9f9a0f8+1278584177)иMalware+Cryptor.Win32.Inject.gen.2

(http://www.virustotal.com/ru/analisis/d58c95a68ae3debf9eedb3497b086c9d9289bc5692b

72931f3a12c3041832628+1278584115).Файлы,соответственно,имелиназвания

(http://www.virustotal.com/ru/analisis/0d8c2bcb575378f6a88d17b5f6ce70e794a264cdc855

6c8e812f0b5f9c709198+1278584497)иSScope.Rookit.TmpHider.2

(http://www.virustotal.com/ru/analisis/1635ec04f069ccc8331d01fdf31132a4bc8f6fd3830ac

94739df95ee093c555c+1278661251).

К сожалению, по ним нет смысла проходить

Заражению подвержена 7-ка x86, понятно. А другие ОС от MS?

упс

Я не сразу вспомнил фамилию одного из вас. В апдейте убрал слово, но ты успел его заметить.

[DiabloNova 175]

За исключением LNK и цифровой подписи не вижу в этом рутките ничего интересного.

Ссылки на хэши приведены в самом начале статьи, все работает.

[Umnik 997]

Ссылки на хэши приведены в самом начале статьи, все работает.

Значит foxit слажал.

[sergey ulasen 200]

sergey ulasen

хорошо?

Хорошо

Заражению подвержена 7-ка x86, понятно. А другие ОС от MS?

У себя подобный эксперимент на XP мы не ставили. Но от пользователей (у пользователей XP) приходили обращения о проблеме в наш суппорт.

[Umnik 997]

У себя подобный эксперимент на XP мы не ставили.

Странно. Обзор написали, а обязательное не проделали. Проверите или такой задачи нет?

И как с лечением все-таки?

[sergey ulasen 200]

[Меня интересует, может ли VBA бороться с активным заражением этим руткитом исключительно кнопкой "ПЫЩ"?

Нет, кнопкой "ПЫЩ" не получится. Для этого у нас есть другие продукты.

[DiabloNova 175]

http://blogs.technet.com/b/mmpc/archive/20...xnet-sting.aspx

Microsoft MMPC has been working with Verisign to revoke this certificate, and did so at 08:05:42 PM UTC with the agreement and support of Realtek.

http://www.microsoft.com/technet/security/...ry/2286198.mspx

http://www.kb.cert.org/vuls/id/940193

Да прибудет патч.

[sergey ulasen 200]

Microsoft MMPC has been working with Verisign to revoke this certificate, and did so at 08:05:42 PM UTC with the agreement and support of Realtek.

VeriSign Revokes Certificate Used to Sign Stuxnet Malware