Амаль год назад кампанія Microsoft выпусціла адносна бяспечную аперацыйную сістэму – Windows 7. Спрабуючы яшчэ больш абараніць яе, кампанія працягвае выпускаць латкі да выяўляных у ёй уразлівасцям.

Аднак, як і ў выпадку з любой іншы АС, дзюры ў абароне навінкі ўсё яшчэ прысутнічаюць. І павелічэнне папулярнасці Windows 7 сярод карыстачоў выклікае ў хакераў жаданне іх адшукаць.

Так, апошняя выяўленая ў аперацыйнай сістэме ўразлівасць карыстаецца магчымасцю аўтазапуску або аўтапрайгравання файлаў.

Напад пачынаецца з моманту падлучэння да інфікаванага кампутара USB-назапашвальніка. У гэты момант на назапашвальнік запісваецца шкоднасная праграма, якая ўмела хаваецца пад выглядам драйвераў - "mrxnet.sys" і "mrxcls.sys", у якіх прысутнічае лічбавая сігнатура Realtek Semiconductor Corp (хутчэй за ўсё выкрадзеная). У выніку на назапашвальніку апыняецца і сама шкоднасная праграма і якія хаваюць яе драйвера.

Інфікаванне наступнага кампутара адбываецца пры падлучэнні да яго гэтага назапашвальніка. Калі даверлівы карыстач варта запыту аперацыйнай сістэмы і выбірае опцыю аўтапрайгравання або адкрыцці назапашвальніка ў правадыру Windows, то адбываецца аўтаматычны запуск шкоднаснай праграмы з інфікаваннем машыны.

І хоць аўтапрайграванне/аўтазапуск у большасці Windows 7 па змаўчанні выключаны, прагляд каранёвай тэчкі USB назапашвальніка або дазвол аўтапрайгравання для USB назапашвальнікаў, можа стаць пачаткам нападу.

Беларуская антывірусная кампанія VirusBlokAda увайшла ў лік першых, хто заўважыў распаўсюджванне новай небяспекі. Нешматлікім раней яна апісала працу віруса, заявіўшы, што ён выкарыстае незвычайны спосаб распаўсюджвання. У прыватнасці праграма выкарыстае незачыненую пакуль уразлівасць з апрацоўкай цэтлікаў файлаў (якая, дарэчы, прысутнічае не толькі ў Windows 7, але і ў шматлікіх іншых Windows, пачынальна з Windows XP). У выніку жа, для заражэння досыць адкрыць заражаны USB назапашвальнік пры дапамозе правадыра Windows або пры дапамозе любога іншага мэнэджара файлаў, які адлюстроўвае абразкі (напрыклад, Total Commander).

Зрэшты, гісторыя на гэтым не сканчаецца. Калі адны людзі лічаць, што падобныя шкоднасныя праграмы могуць выкарыстоўвацца для крадзяжоў нумароў крэдытных карт і персанальнай інфармацыі карыстачоў, то даследнік у вобласці бяспекі Франк Болдуин (Frank Boldewin), які вывучыў атрыманую праграму, выявіў, што ў яе ёсць суцэль вызначаная мэта – шкоднасная праграма спрабуе інфікаваць сістэмы Siemens WinCC SCADA.

Для чаго выкарыстоўваюцца гэтыя сістэмы? Часцяком яны ўжываюцца на буйных вытворчасцях і электрастанцыях. І арыентацыя шкоднаснай праграмы на іх дазваляе выказаць здагадку, што гэта свайго роду прамысловы шпіянаж, які можа быць карысны некаторым краінам. Зрэшты, вельмі верагодна, што ў найблізкім будучыні ўмельцы арыентуюць вірус і супраць звычайных карыстачоў.

Варта адзначыць, што Microsoft пакуль не адказала на заяву VirusBlokAda. Аднак яна ўжо прызнала наяўнасць праблемы. Па словах прадстаўніка кампаніі, Microsoft даследуе паведамленні аб распаўсюджванні новай шкоднаснай праграмы праз USB назапашвальнікі.

Кампанія ўжо працуе над выпраўленнем. Пакуль жа яна карыстачам для абароны сваіх сістэм часова адключыць адлюстраванне абразкоў і сэрвіс WebClient.

рэкамендуем прачытаць таксама

• У студзені Microsoft выпусціць усяго адно абнаўленне
• За год Microsoft прадала больш 240 мільёнаў дзід Windows 7
• Microsoft прызначыла новага раздзел Windows-падпадзяленні
• Карыстачы Windows 7 змогуць зрабіць адкат да Windows XP
• Microsoft: Распрацоўка Windows XP Mode цалкам завершаная

Каментаванне не дазволенае.