Chyba już wszyscy wiedzą, że pendrive’y i podobne media przenośne zajmują niechlubne miejsce w czołówce sposobów na zainfekowanie komputera.
Najczęściej zalecaną metodą na – choćby podstawowe – zabezpieczenie się przed atakami Worm/Autorun pochodzącymi z nośników wymiennych to wyłączenie autostartu urządzeń USB w systemie Windows. Do piątku 16 lipca metoda ta świetnie się sprawdzała i dawała poczucie wystarczającego bezpieczeństwa. Niestety, z przykrością muszę odebrać Wam tę resztkę optymizmu. Wyłączenie autostartu już nie wystarczy.
Jak donosi Hynek Blinka na blogu naszego VirusLabu, namierzona została infekcja, która z nośnika wymiennego potrafi zainfekować komputer z wyłączoną w systemie Windows funkcją autostartu.
Atak wykorzystuje pliki dostępne już od zarania dziejów (tzn. od powstania Windowsów) – skróty z rozszerzeniem *.lnk.
Jak to działa? Wykorzystywany jest dowolny menedżer plików wyświetlający ikony – np. Windows Explorer, Total Commander i im podobne. Dwa pliki, które trafiły do analizy w laboratorium, to fałszywe sterowniki. Pierwsza poważna sprawa to fakt, że jeden z nich miał poprawny podpis cyfrowy informujący, że wydawcą jest Realtek Semiconductor Corp.
Jak łatwo się domyślić – taki podpis wprowadza w błąd zdecydowaną większość programów antywirusowych, bo plik podpisany poprawnym, ważnym certyfikatem uważany jest za zdrowy. Certyfikat wykorzystany do infekcji został już deaktywowany i walidacja jego ważności kończy się aktualnie niepowodzeniem.
Wracamy do sposobu infekcji. Wspomniałem o wykorzystaniu formatu skrótu systemu Windows. Po raz pierwszy plik *.lnk został wykorzystany jako sposób na wprowadzenie rootkita!
Poniższy zrzut ekranu to przykładowy zestaw plików ukrytych na nośniku:
Pliki te są niewidoczne dla użytkownika z domyślnie skonfigurowanymi opcjami folderów (czyli z zaznaczonym polem Nie pokazuj plików ukrytych lub systemowych).
Infekcja następuje w chwili podłączenia pendrive’a zainfekowanego takim zestawem plików i wyświetlenia jego zawartości w dowolnym menedżerze plików obsługującym ikony.
Na dysku lądują pliki:
%system%Driversmrxcls.sys %system%Driversmrxnet.sysW rejestrze powstają wpisy dla nowych usług uruchamiających infekcję:
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMRxCls] „Description”=”MRXCLS” „DisplayName”=”MRXCLS” „Group”=”Network” „ImagePath”=”\??\C:\WINDOWS\system32\Drivers\mrxcls.sys” „Start”=dword:00000001 „Type”=dword:00000001 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMRxNet] „Description”=”MRXNET” „DisplayName”=”MRXNET” „Group”=”Network” „ImagePath”=”\??\C:\WINDOWS\system32\Drivers\mrxnet.sys” „Start”=dword:00000001 „Type”=dword:00000001Po utworzeniu wpisów o usługach, przy najbliższym starcie systemu aktywuje się rootkit. Infekcja następuje z wykorzystaniem Process Injection (wstrzyknięcie procesu w przestrzeń adresową innego działającego programu) i API hooking (przechwytywanie wywołań systemowych).
Rootkit wprowadza infekcję w następujące procesy:
lsass.exe svchost.exe services.exePóki co namierzone zostały dopiero dwie mutacje wykorzystujące powyższą – podkreślam, nową – metodę ataku. Nie wiadomo, jaki będzie dalszy rozwój wydarzeń. Jeśli cyberprzestępcy zechcą wykorzystać ten sposób do szerzenia kolejnych infekcji, to jesteśmy zdani na czekanie, aż Microsoft załata problem w systemach Windows. Wsparcie techniczne MS zna już problem – możemy więc mieć nadzieję, że zareagują na niego odpowiednio szybko i zamkną furtkę dla infekcji używających luk w obsłudze windowsowych plików *.lnk.
Do tego czasu pozostaje nam z większą troską posługiwać się nośnikami wymiennymi.
Na sam koniec jestem oczywiście zmuszony podkreślić, że wspomniane infekcje (i sama metoda) zostały wykryte przez VirusLab AVG, w związku z czym znane obecnie rootkity wykorzystujące tą lukę są bezproblemowo blokowane przez AVG.
Źródło: Dangerous Flash Drives – AVG VirusLab Blog.
___
Artykuł powstał dzięki CORE – polskiemu dystrybutorowi antywirusów AVAST i AVG. Wykorzystaj wielofunkcyjny antywirus AVG do pełnej ochrony Twojego komputera.
Dodam w ramach komentarza aktualizację do powyższego.
Lista aliasów dla detekcji przez skanery antywirusowe konkurencji:
Aliasy:
• Symantec: W32.Temphid
• Kaspersky: Rootkit.Win32.Stuxnet.a
• TrendMicro: RTKT_STUXNET.A
• F-Secure: Rootkit.Stuxnet.A
• Sophos: W32/Stuxnet-B
• Bitdefender: Rootkit.Stuxnet.A
• Avast: Win32:Stuxnet-B
• Microsoft: Trojan:WinNT/Stuxnet.A
• AVG: Rootkit-Pakes.AG
• PCTools: Rootkit.Stuxnet
• Eset: Win32/Stuxnet.A
• GData: Rootkit.Stuxnet.A
• AhnLab: Backdoor/Win32.Stuxnet
• DrWeb: Trojan.Stuxnet.1
• Fortinet: W32/Stuxnet.A!tr.rkit
• Ikarus: Rootkit.Win32.Stuxnet
• Norman: W32/Stuxnet.D
[…] opisałem raptem wpis niżej Pendrive`y znów zagrożone. Tym razem zostawiam załącznik z paczką zip i 4 kluczami rejestru […]
Witam!
Zastanawiam się czy jest możliwość, wykrycia czy ma się takie złośliwe oprogramowanie na pamięci przenośnej. Mam tych pamięci kilkanaście i są często gęsto używane.
W większości przypadków udaje się wykryć wirusa nim go przeniosę na własny komputer, niezwłocznie też zaktualizowałam kompa o przygotowaną przez Pana paczkę. Niestety pamięci używam też na wielu innych komputerach i nie chciałabym być przyczyną awarii czyjegoś komputera. Sformatowanie pamięci jest krótko terminowe, gdyż często przenoszę na nich pliki z internetu, a wraz z nimi mogło by się zaplątać jakieś złośliwe oprogramowanie.
Dodam w ramach komentarza aktualizacje do powyzszego. Lista aliasow dla detekcji przez skanery antywirusowe konkurencji:Aliasy:• Symantec: W32.Temphid• Kaspersky: Rootkit.Win32.Stuxnet.a• TrendMicro: RTKT_STUXNET.A• F-Secure: Rootkit.Stuxnet.A• Sophos: W32/Stuxnet-B• Bitdefender: Rootkit.Stuxnet.A• Avast: Win32:Stuxnet-B• Microsoft: Trojan:WinNT/Stuxnet.A• AVG: Rootkit-Pakes.AG• PCTools: Rootkit.Stuxnet• Eset: Win32/Stuxnet.A• GData: Rootkit.Stuxnet.A• AhnLab: Backdoor/Win32.Stuxnet• DrWeb: Trojan.Stuxnet.1• Fortinet: W32/Stuxnet.A!tr.rkit• Ikarus: Rootkit.Win32.Stuxnet• Norman: W32/Stuxnet.D
Witam!Zastanawiam sie czy jest mozliwosc, wykrycia czy ma sie takie zlosliwe oprogramowanie na pamieci przenosnej. Mam tych pamieci kilkanascie i sa czesto gesto uzywane.W wiekszosci przypadkow udaje sie wykryc wirusa nim go przeniose na wlasny komputer, niezwlocznie tez zaktualizowalam kompa o przygotowana przez Pana paczke. Niestety pamieci uzywam tez na wielu innych komputerach i nie chcialabym byc przyczyna awarii czyjegos komputera. Sformatowanie pamieci jest krotko terminowe, gdyz czesto przenosze na nich pliki z internetu, a wraz z nimi moglo by sie zaplatac jakies zlosliwe oprogramowanie.