Новый USB-троян обладает легальной подписью

  Эксперты антивирусной компании из Белоруссии «ВирусБлокАда» сообщили об обнаружении новой троянской программы, имеющей две необычные отличительные особенности. Во-первых, она распространяется через USB-накопители новым способом, а во-вторых, вредонос имеет легальную цифровую подпись компании Realtek.

  Традиционный способ распространения Windows-вирусов через флешки использует файл автозапуска autorun.inf. Таким умением, к примеру, обладает великий и ужасный Conficker, который уже второй год то и дело устраивает переполохи в различных локальных сетях.

  Новый же троянец использует уязвимость в обработке lnk-файлов, то есть файлов-ярлыков. Как сообщают белорусские специалисты, «пользователю достаточно открыть инфицированный накопитель в Microsoft Explorer или в любом другом файловом менеджере, который умеет отображать иконки в lnk-файлах (к примеру, Total Commander), чтобы произошло заражение системы, и вредоносная программа получила управление».

  При заражении компьютера в систему внедряются два sys-файла, которые призваны скрывать присутствие заражённых файлов в системе и на сменном накопителе. Особенность этих «драйверов» состоит в том, что они подписаны цифровой подписью компании Realtek Semiconductor Corp.

  Эксперт «Лаборатории Касперского» Александр Гостев проверил эту подпись на сайте Verisign и выяснил, что такой сертификат действительно был выдан на имя Realtek. Однако этот сертификат перестал действовать 12 июня. Примерно тогда же, 17 июня, вредонос впервые попал в поле зрения специалистов «ВирусБлокАда». Между тем, вредоносные файлы были подписаны ещё 25 января, в связи с чем Гостев высказывает гипотезу, что именно из-за этой подписи вирус «столь долгое время был „невидим“ для антивирусных решений».

  «Все эти факты указывают на то, что в данном случае мы имеем дело с ситуацией, когда действительно кто-то обладающий возможностью подписывать файлы подписью от Realtek — сделал это: подписал троянца», — считает Гостев.

  Эксперт «Лаборатории Касперского» не взялся строить более конкретные предположения на этот счёт, но, очевидно, имеется два наиболее вероятных варианта: либо у вирусописателей имеется или имелся инсайдер в Realtek, либо они ухитрились пролезть в компьютерную сеть компании. Точнее может сказать только расследование при участии Realtek, однако здесь пока не отреагировали на уведомление, отправленное им специалистами «ВирусБлокАда».

  Что до уязвимости в обработке lnk-файлов, то Гостев также не исключает, что «это не баг, это фича», как было и в случае с AutoRun. Microsoft также получил извещение о проблеме, так что, «вероятно, в ближайшие дни мы узнаем истину», говорит Гостев.

  В «Лаборатории Касперского» новый троянец получил название Stuxnet.