Pendrive’y znów zagrożone

19 lipca 2010, 10:41, dodał: Arek Zakrzewski

Chyba już wszyscy wiedzą, że pendrive’y i podobne media przenośne zajmują niechlubne miejsce w czołówce sposobów na zainfekowanie komputera.

Najczęściej zalecaną metodą na – choćby podstawowe – zabezpieczenie się przed atakami Worm/Autorun pochodzącymi z nośników wymiennych to wyłączenie autostartu urządzeń USB w systemie Windows. Do piątku 16 lipca metoda ta świetnie się sprawdzała i dawała poczucie wystarczającego bezpieczeństwa. Niestety, z przykrością muszę odebrać Wam tę resztkę optymizmu. Wyłączenie autostartu już nie wystarczy.

Jak donosi Hynek Blinka na blogu naszego VirusLabu, namierzona została infekcja, która z nośnika wymiennego potrafi zainfekować komputer z wyłączoną w systemie Windows funkcją autostartu.

Atak wykorzystuje pliki dostępne już od zarania dziejów (tzn. od powstania Windowsów) – skróty z rozszerzeniem *.lnk.

Jak  to działa? Wykorzystywany jest dowolny menedżer plików wyświetlający ikony – np. Windows Explorer, Total Commander i im podobne.  Dwa pliki, które trafiły do analizy w laboratorium, to fałszywe sterowniki. Pierwsza poważna sprawa to fakt, że jeden z nich miał poprawny podpis cyfrowy informujący, że wydawcą jest Realtek Semiconductor Corp.

Jak łatwo się domyślić – taki podpis wprowadza w błąd zdecydowaną większość programów antywirusowych, bo plik podpisany poprawnym, ważnym certyfikatem uważany jest za zdrowy. Certyfikat wykorzystany do infekcji został już deaktywowany i walidacja jego ważności kończy się aktualnie niepowodzeniem.

Wracamy do sposobu infekcji. Wspomniałem o wykorzystaniu formatu skrótu systemu Windows. Po raz pierwszy plik *.lnk został wykorzystany jako sposób na wprowadzenie rootkita!

Poniższy zrzut ekranu to przykładowy zestaw plików ukrytych na nośniku:

Pliki te są niewidoczne dla użytkownika z domyślnie skonfigurowanymi opcjami folderów (czyli z zaznaczonym polem Nie pokazuj plików ukrytych lub systemowych).

Infekcja następuje w chwili podłączenia pendrive’a zainfekowanego takim zestawem plików i wyświetlenia jego zawartości w dowolnym menedżerze plików obsługującym ikony.

Na dysku lądują pliki:

%system%\Drivers\mrxcls.sys
%system%\Drivers\mrxnet.sys

W rejestrze powstają wpisy dla nowych usług uruchamiających infekcję:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls]
„Description”=”MRXCLS”
„DisplayName”=”MRXCLS”
„Group”=”Network”
„ImagePath”=”\\??\\C:\\WINDOWS\\system32\\Drivers\\mrxcls.sys”
„Start”=dword:00000001
„Type”=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNet]
„Description”=”MRXNET”
„DisplayName”=”MRXNET”
„Group”=”Network”
„ImagePath”=”\\??\\C:\\WINDOWS\\system32\\Drivers\\mrxnet.sys”
„Start”=dword:00000001
„Type”=dword:00000001

Po utworzeniu wpisów o usługach, przy najbliższym starcie systemu aktywuje się rootkit. Infekcja następuje z wykorzystaniem Process Injection (wstrzyknięcie procesu w przestrzeń adresową innego działającego programu) i API hooking (przechwytywanie wywołań systemowych).

Rootkit wprowadza infekcję w następujące procesy:

lsass.exe
svchost.exe
services.exe

Póki co namierzone zostały dopiero dwie mutacje wykorzystujące powyższą – podkreślam, nową – metodę ataku. Nie wiadomo, jaki będzie dalszy rozwój wydarzeń. Jeśli cyberprzestępcy zechcą wykorzystać ten sposób do szerzenia kolejnych infekcji, to jesteśmy zdani na czekanie, aż Microsoft załata problem w systemach Windows. Wsparcie techniczne MS zna już problem – możemy więc mieć nadzieję, że zareagują na niego odpowiednio szybko i zamkną furtkę dla infekcji używających luk w obsłudze windowsowych plików *.lnk.

Do tego czasu pozostaje nam z większą troską posługiwać się nośnikami wymiennymi.

Na sam koniec jestem oczywiście zmuszony podkreślić, że wspomniane infekcje (i sama metoda) zostały wykryte przez VirusLab AVG, w związku z czym znane obecnie rootkity wykorzystujące tą lukę są bezproblemowo blokowane przez AVG.

Źródło: Dangerous Flash Drives – AVG VirusLab Blog.

Tagi: , , ,

Ten wpis został opublikowany 19 lipca 2010 o 10:41 i jest zapisany w kategorii Nowości. Możesz śledzić wszystkie odpowiedzi do tego wpisu poprzez kanał RSS 2.0 Możesz dodać odpowiedź lub trackback ze swojej strony.

Dodaj do:
  • Wykop
  • Facebook
  • Blip
  • Twitter
  • Google Bookmarks
  • Gwar
  • RSS
  • LinkedIn
  • Co-Robie.pl
  • OSnews.pl
  • Forumowisko
  • Linkr.pl
  • Grono
  • Spis.pl
  • Sfora.pl
  • Wahacz.pl
«
»

Skomentuj (3)

  1. Arek pisze:
    19 lipca 2010 o 11:10

    Dodam w ramach komentarza aktualizację do powyższego.
    Lista aliasów dla detekcji przez skanery antywirusowe konkurencji:

    Aliasy:
    • Symantec: W32.Temphid
    • Kaspersky: Rootkit.Win32.Stuxnet.a
    • TrendMicro: RTKT_STUXNET.A
    • F-Secure: Rootkit.Stuxnet.A
    • Sophos: W32/Stuxnet-B
    • Bitdefender: Rootkit.Stuxnet.A
    • Avast: Win32:Stuxnet-B
    • Microsoft: Trojan:WinNT/Stuxnet.A
    • AVG: Rootkit-Pakes.AG
    • PCTools: Rootkit.Stuxnet
    • Eset: Win32/Stuxnet.A
    • GData: Rootkit.Stuxnet.A
    • AhnLab: Backdoor/Win32.Stuxnet
    • DrWeb: Trojan.Stuxnet.1
    • Fortinet: W32/Stuxnet.A!tr.rkit
    • Ikarus: Rootkit.Win32.Stuxnet
    • Norman: W32/Stuxnet.D

  2. Łatka na problem infekcji przez skrót LNK « techblog.avg.pl pisze:
    21 lipca 2010 o 11:24

    [...] opisałem raptem wpis niżej Pendrive`y znów zagrożone. Tym razem zostawiam załącznik z paczką zip i 4 kluczami rejestru [...]

  3. Zaiana pisze:
    22 lipca 2010 o 08:01

    Witam!

    Zastanawiam się czy jest możliwość, wykrycia czy ma się takie złośliwe oprogramowanie na pamięci przenośnej. Mam tych pamięci kilkanaście i są często gęsto używane.
    W większości przypadków udaje się wykryć wirusa nim go przeniosę na własny komputer, niezwłocznie też zaktualizowałam kompa o przygotowaną przez Pana paczkę. Niestety pamięci używam też na wielu innych komputerach i nie chciałabym być przyczyną awarii czyjegoś komputera. Sformatowanie pamięci jest krótko terminowe, gdyż często przenoszę na nich pliki z internetu, a wraz z nimi mogło by się zaplątać jakieś złośliwe oprogramowanie.

Dodaj odpowiedź