Новая уязвимость ОС Windows: под угрозой – SCADA-системы

Белорусским исследователям удалось обнаружить новую серию вредоносного программного обеспечения, которое распространяется посредством USB-накопителей, используя прежде неизвестную уязвимость безопасности в ОС Windows.

Сотрудники компании ВирусБлокАда сообщили о двух найденных образцах вредоносных приложений, успешно инфицирующих свежеобновленную систему Windows 7. Для этого пользователю достаточно было просмотреть содержимое зараженного USB-диска при помощи какого-либо стандартного файлового менеджера, например Windows Explorer.

Этот способ распространения весьма обычен для самых разных видов вредоносного ПО, и большая часть вирусов и троянских программ, передаваемых таким путем, заражают систему с помощью функции автовоспроизведения или автозапуска. Однако находка специалистов ВирусБлокАда использует для этого уязвимость в механизме обработки файлов ярлыков.

Как правило, ярлыки расположены на Рабочем столе и в меню Пуск и не выполняют никаких действий, пока пользователь не щелкнет по значку. В отличии от них, обнаруженные вредоносные программы, замаскированные под ярлыки, будучи записанными на USB-носитель, запускаются автоматически при отображении в Windows Explorer или любом другом файловом менеджере, способном отображать ярлыки, например Total Commander.

По словам Сергея Уласеня, возглавляющего разработку антивирусных продуктов ВирусБлокАда, вредоносные программы устанавливают два драйвера – mrxnet.sys и mrxcls.sys, скрывающих их. Оба драйвера, что любопытно, подписаны цифровой подписью компании Realtek Semiconductor, производителя сетевых контроллеров и аудиокодеков.

На официальном сайте Microsoft уже опубликованы рекомендации по предотвращению заражения. Одним из решений является отключение значков для ярлыков, что потребует редактирования реестра Windows. Кроме того, пользователь может отключить службу WebClient. Это не помешает злоумышленнику, уже воспользовавшемуся уязвимостью, удаленно запускать приложения на локальном компьютере или по локальной сети через Microsoft Office Outlook, однако перед запуском программ через Интернет система будет запрашивать подтверждение.

Хотя уязвимостей такого рода в Windows прежде обнаружено не было, они могут стать популярной методикой распространения вредоносного ПО. На сегодняшний день все зафиксированные атаки, видимо, являются направленными. Как утверждает независимый исследователь компьютерной безопасности Фрэнк Болдуин (Frank Boldewin), анализ найденных образцов показал, что они нацелены на WinCC SCADA-системы Siemens или компьютеры, используемые для управления большими распределенными системами, такими как технологические установки или электростанции. "Похоже, это вредоносное ПО было создано для шпионажа," – заявляет он.