17 июня сего года спецами компании «ВирусБлокАда» была поймана вредоносная программа, модули которой получили имена Trojan-Spy.0485 и Malware-Cryptor.Win32.Inject.gen.2. Файлы имели названия ~wtr4132.tmp (513536 байт) и ~wtr4141.tmp (25720 байт). Функционал данной вредоносной программы содержал в том числе и руткит-технологии. Уязвимыми являются все венды начиная от Windows XP и включая Windows 7. Уязвимости подвержена и операционная система Windows 7 Enterprise Edition x86 со всеми последними обновлениями, что говорит о том, что вредоносная программа использует уязвимость, которая до сих пор существует и не закрыта в ОС Windows. LNK-файлы эксплуатирующие эту уязвимость обнаруживаются как LNK/Autostart

Метод распространения: Вирус начал распространяется через USB-накопители. При этом распространение происходит не стандартным способом через файл autorun.inf, а через уязвимость в lnk-файлах. Т.е. пользователю достаточно открыть инфицированный USB-накопитель через Explorer или в любом другом файловом менеджере, который умеет отображать иконки в lnk-файлах (к примеру, Total Commander). В корне зараженного USB-носителя имеются 2 файла с расширением tmp (они являются исполнимыми), а также 4 файла с расширением lnk. После этого происходит заражение системы, и руткит получает управление.

Инфицирование системы происходит следующим образом:
1. В директорию %SystemRoot%\System32\drivers помещаются 2 файла: mrxnet.sys и mrxcls.sys, один из которых работает как драйвер-фильтр файловой системы, а второй как инжектор вредоносного кода. Файлы подписаны цифровой подписью, сертификат на которую выдан компании Realtek.
2. В директорию %SystemRoot%\inf помещаются 2 файла oem6c.pnf и oem7a.pnf, содержимое которых зашифровано.
3. Вредоносная программа получает управление сразу после инфицирования системы, дополнительная перезагрузка системы не требуется. Сразу после инфицирования системы начинает работать драйвер-фильтр, который скрывает файлы ~wtr4132 и ~wtr4141.tmp и соответствующие lnk-файлы.
4. Также руткит запускает дополнительные потоки в системных процессах, скрывая при этом модули, из которых данные потоки были запущены.
5. Руткит устанавливает перехваты в системных процессах. Таким образом, данную вредоносную программу можно отнести к категории потенциально опасных, т.к. она представляет риск для заражения многих компьютеров.

Это связано с тем, что:
1. Для распространения используется уязвимость операционной системы, которая до сих пор не закрыта. Вредоносная программа начинает скрывать следы своего присутствия сразу после заражения системы;
2. Для сокрытия используются драйвера, имеющие цифровую подпись. Из-за этого затруднено самостоятельное их выявления, т.к. вводятся в заблуждение антируткиты. Также продолжительное время отсутствует детектирование данных драйверов антивирусными компаниями, вероятно из-за отсеивания этих экземпляров на этапе первичной обработки входящего потока бинарных файлов.

Но это еще хуйня, считалось что единственный способ распространения этой вредоносной программы – это заражение USB-накопителей. (Интересно, что способ запуска вредоносной программы использует ранее неизвестную уязвимость в обработке LNK-файлов содержащихся на USB-накопителе. Выполнение вредоносного кода происходит по причине наличия уязвимости в Windows Shell, связанной с отображением специально подготовленных LNK-файлов) для атаки может и не быть нужна ни флэшка, ни сидюк (или дивидюк). Вместо этого атакующему достаточно создать особым образом некоторый сайт и дожидаться того только, чтобы пользователь зашёл на сайт при помощи Internet Explorer; и как только Windows попробует загрузить значок, на сайте указанный, всё будет кончено.

Всё нах, хватит! Пора всем на Firefox, Chrome, Safari, Opera, SeaMonkey, и так далее, и так далее. ПесдецЪ тем, кто лазает по Интернетам через IE или через любое другое зловещее поделие, на IE основанное — Maxthon, Netscape в IE-режиме, Firefox с IE-вкладкою, Chrome Frame, и так далее, и так далее.

Песдец тебе, вендузятнег! ВЕНДЕКАПЕЦ! ЛИНУКС ФПИРЕТ, ОЛОЛО! БУГАГА!