Июльской «новинкой» летнего сезона стала вредоносная программа нового типа, которая по классификации Dr.Web получила наименование Trojan.Stuxnet.
Ее распространение оказалось напрямую связано с ранее неизвестной уязвимостью операционной системы Windows. Этот троянец принес с собой несколько новинок в области обхода защитных механизмов Microsoft и уже успел продемонстрировать всю серьезность своих намерений — одним из первых зафиксированных применений Trojan.Stuxnet. стал промышленный шпионаж.
Троянец устанавливает в систему два драйвера, один из которых является драйвером-фильтром файловой системы, скрывающим наличие компонентов вредоносной программы на съемном носителе. Второй драйвер используется для внедрения зашифрованной динамической библиотеки в системные процессы и специализированное ПО для выполнения основной задачи.
Авторы нового троянца преподнесли пользователям сразу несколько неприятных сюрпризов. Во-первых, уже упомянутая эксплуатация уязвимости Windows: вредоносная программа использует «слабое звено» в алгоритме обработки содержимого ярлыков. Следует отметить, что корпорация Microsoft оперативно отреагировала на обнаружение этой уязвимости. По информации, опубликованной разработчиком ОС Windows, ей подвержены как 32-битные, так и 64-битные версии, начиная с Windows XP и заканчивая Windows 7 и Windows Server 2008 R2. Злоумышленники могут использовать эту «брешь» и для удаленного запуска вредоносных программ. Кроме того, опасный код может интегрироваться в документы некоторых типов, предполагающих наличие в них встроенных ярлыков, и распространяться посредством эксплуатации обнаруженной уязвимости.
2 августа 2010 года компания Microsoft выпустила критический патч для всех подверженных уязвимости версий Windows. Для тех систем, в которых настроено автоматическое обновление, патч установится автоматически, и для его применения потребуется перезагрузка компьютера.
«Сюрпризы» от авторов Trojan.Stuxnet на этом не закончились. Драйверы, которые троянец устанавливает в систему, снабжены цифровыми подписями, украденными у производителей легального программного обеспечения. В июле стало известно об использовании подписей, принадлежащих таким компаниям, как Realtek Semiconductor Corp. и JMicron Technology Corp. Злоумышленники используют подпись для «тихой» установки в целевую систему.
Стоит заметить, что, кроме драйверов, которые подписываются для незаметной установки, подписан также и вредоносной файл, запускающийся с помощью эксплойта уязвимости Windows Shell со съемных носителей. Но данная подпись практически сразу после первой же активизации троянца перестает действовать: встроенный счетчик заражений постоянно модифицирует исполняемый файл, в результате чего подпись приходит в негодность.