4 августа 2010, 14:21

Trojan.Stuxnet - еще одна вредоносная программа

Июльской «новинкой» летнего сезона, заставившей антивирусную индустрию в который раз серьезно мобилизовать свои ресурсы, стала вредоносная программа нового типа, которая по классификации Dr.Web получила наименование Trojan.Stuxnet.1. Ее распространение оказалось напрямую связано с ранее неизвестной уязвимостью операционной системы Windows. Этот троянец принес с собой несколько новинок в области обхода защитных механизмов Microsoft и уже успел продемонстрировать всю серьезность своих намерений — одним из первых зафиксированных применений Trojan.Stux net.1 стал промышленный шпионаж.

Троянец устанавливает в систему два драйвера, один из которых является драйвером-фильтром файловой системы, скрывающим наличие компонентов вредоносной программы на съемном носителе. Второй драйвер используется для внедрения зашифрованной динамической библиотеки в системные процессы и специализированное ПО для выполнения основной задачи. 2 августа 2010 года компания Microsoft выпустила критический патч для всех подверженных уязвимости версий Windows. Для тех систем, в которых настроено автоматическое обновление, патч установится автоматически, и для его применения потребуется перезагрузка компьютера.

Буткиты — программы, модифицирующие загрузочный сектор диска — постепенно становятся привычным компонентом вредоносного ПО. Применение буткитов приводит к тому, что обычные средства анализа системы на наличие вредоносного кода не в состоянии детектировать объект комплексно. Не имея возможности отследить модификацию загрузочного сектора, они могут определить лишь те компоненты вредоносных программ, которые расположены на диске в виде обычных файлов. Таким образом, даже после лечения вирус снова окажется в системе, и так продолжится до тех пор, пока загрузочный сектор диска не будет возвращен к исходному состоянию.

Лишь немногие комплексные антивирусные средства способны выявить модификацию загрузочного сектора и полностью вылечить систему от буткита. В большинстве случаев разработчики антивирусов предлагают избавляться от этой проблемы с помощью специальных утилит. И здесь возникает сложность, которой и пользуются злоумышленники: пользователь далеко не всегда своевременно начинает искать альтернативные пути решения проблемы, поскольку не в состоянии понять, что его антивирус просто «не видит» факта модификации з агрузочного сектора системного диска.

В июле эпидемия блокировщиков пошла на спад — сервер статистики Dr.Web зафиксировал 280 000 детектов против 420 000 в июне. Продолжилось массированное распространение через электронную почту различных модификаций Trojan.Oficla. Также в почтовом трафике по-прежнему заметны сообщения с прикрепленными к ним HTML-файлами (JS.Redirector).

 

Оцените новость:
  • 2 оценки