Несколько дней назад специалисты из белорусской антивирусной компании VirusBlokAda (VBA) опубликовали сообщение об обнаруженной ими новой, весьма интересной вредоносной программы. Также ими был опубликован небольшой анализ c выводом о наличии двух заметных «инноваций», применяемых в данной программе. Одна из них использует ранее не применявшийся способ запуска файлов со съемных USB-накопителей при помощи LNK-файлов. Другая инновация заключается в том, что используемые вредоносные драйверы обладают легальной цифровой подписью компании Realtek. Читатели могут ознакомиться с этим документом. В свою очередь эксперты из Лаборатории Касперского провели собственный анализ вредоносной программы и тоже нашли кое-что интересное.

Прежде всего следует отметить способ распространения данного Trojan-Dropper.Win32.Stuxnet. Троянец заражает флешки, создавая на них 4 lnk-файла:

(~WTR4141.tmp – основной файл вредоносной программы)

Строчки из кода трояна осуществляющего заражение флешек

Интересно, что в первых двух файлах используется ID – уникальный номер флешки для данного компьютера. До сих пор автозапуск файлов с дисков был привилегией autorun.inf. Эта «фича» ОС Windows уже давно стала обьектом жестокой критики со стороны экспертов по безопасности и одним из любимых приемов при распространении вирусов – они сформировали целый класс Worm.Win32.Autorun, насчитывающий несколько десятков тысяч различных угроз. Но к autorun.inf и стартуемым из него вредоносам мы уже относительно привыкли (и научились бороться). А вот LNK-файлы – это действительно нечто новое. Для них можно зарезервировать класс "Linkrun” :) Мы не беремся пока вынести окончательный вердикт: является ли этот трюк реальной неизвестной уязвимостью в OC Windows или же это очередная «фича» разработчиков компании из Редмонда. Впрочем, они уже были извещены о проблеме, и, вероятно, в ближайшие дни мы узнаем истину. Но это только первая часть нашего небольшого обзора. Название «Мирт и гуава» тут тоже неспроста.
Продолжаем забираться в ботанические дебри. В этом посте о троянце Stuxnet посмотрим на вторую его особенность – цифровую подпись. Вредоносные программы с цифровыми подписями – это страшный сон для разработчиков антивирусных компаний. На подписи завязано многое, они служат признаком легальности (неоспоримым) приложения, лежат в основе концепций информационной защиты и составляют важное звено эффективности антивирусных продуктов. Ни для кого не секрет, что файл с цифровой подписью априори вызывает «доверие» у модулей защиты и зачастую автоматически считается «белым». Впрочем, порой случаются ситуации, когда киберпреступникам все-таки удается получить собственный сертификат-подпись. В последнее время такие инциденты, например, регулярно происходят с сертификатами у ряда троянских программ для мобильных телефонов. Мы их находим, уведомляем сертификационный центр, сертификат отзывается и т.д. Однако со Stuxnet дело темное. Потому что используется там подпись не кого-нибудь, а компании Realtek Semiconductor, одного из крупнейших производителей компьютерного оборудования. Отозвать сертификат у такой компании невозможно. Это повлечет за собой неработоспособность гигантского количества выпущенного ими софта. Впрочем, давайте по порядку. Итак, вредоносная программа создает два файла в %SystemRoot%\system32\Drivers\: mrxcls.sys, mrxnet.sys Эти файлы-драйверы призваны обеспечить работу руткит-функционала Stuxnet – скрывать его присутствие в системе\на зараженных флешках. Именно они и снабжены цифровой подписью:

Видно, что файлы были подписаны 25 января 2010 года. Это означает, что с момента создания до момента обнаружения троянца в дикой природе (в середине июня) прошло несколько месяцев. Но как злоумышленникам удалось подписать файлы ? Из соседнего кабинета мне подсказывают, что известен один «эксплоит», но он не позволяет подписывать произвольные файлы. Давайте пойдем на сайт Verisign, чтобы проверить – действительно ли такой сертификат существует и был выдан ?

Что ж, сертификат абсолютно легален. Единственное, что смущает, - это то, что он истек 12 июня 2010 года. Эта дата удивительным образом совпадает и с моментом обнаружения троянца экспертами компании VBA. Означает ли это, что именно из-за своей подписи – он столь долгое время был «невидим» для антивирусных решений ? Возможно, да. Все эти факты указывают на то, что действительно кто-то имеющий возможность подписывать файлы подписью от Realtek – сделал это: подписал троянца. Мы сами не связывались с Realtek по этому поводу. Мы знаем, что это сделали ребята из ВирусБлокАда, и они до сих пор не получили никакого ответа от этой компании. Со своей стороны, мы можем заблокировать данную подпись для наших продуктов, при помощи KSN. На самом деле мы уже сделали это. Но что же насчет действительной опасности и текущей распространенности Stuxnet? Ответ на этот вопрос, возможно, даст информацию и об источнике проблемы ?
Это не всё! Продолжение следует.