Trojan.Stuxnet затмил Winlocker

Антивирусным компаниям и пользователям июль 2010 года запомнится не только экстремальной жарой, но и массовым распространением троянцев Trojan.Stuxnet, которые используют новый способ запуска со съёмных носителей, а также применяют украденные цифровые подписи известных производителей ПО. При этом активно докучавшие пользователям последние полгода блокировщики Windows (в частности — модификации Trojan.Winlocker) сократили темпы своего распространения, вынудив интернет-мошенников искать альтернативу платным СМС-сообщениям.

«Новинкой» сезона стал троянец, получивший по классификации Dr.Web наименование Trojan.Stuxnet.1. Он эксплуатирует неизвестную ранее уязвимость Windows, а также использует несколько новых подходов к обходу защитных механизмов Microsoft. Так, троянец устанавливает в систему два драйвера, один из которых является драйвером-фильтром файловой системы, скрывающим наличие компонентов вредоносной программы на съёмном носителе. Второй драйвер используется для внедрения зашифрованной динамической библиотеки в системные процессы и специализированное ПО для выполнения основной задачи (одним из первых зафиксированных применений Trojan.Stuxnet.1 стал промышленный шпионаж). Более того, драйверы, которые троянец устанавливает в систему, снабжены цифровыми подписями, украденными у производителей легального программного обеспечения. В июле стало известно об использовании подписей, принадлежащих таким компаниям, как Realtek Semiconductor Corp. и JMicron Technology Corp. Злоумышленники используют подпись для «тихой» установки в целевую систему. Причём подписан также и вредоносной файл, запускающийся с помощью эксплойта уязвимости Windows Shell со съёмных носителей. Но данная подпись практически сразу после первой же активизации троянца перестает действовать: встроенный счётчик заражений постоянно модифицирует исполняемый файл, в результате чего подпись приходит в негодность.


Рекомендуем почитать: