Eredeti cikkünk:

A webes fertőzések mellett napjainkban a hordozható adattárolókon, például USB-memóriakulcsokon terjedő kártékony programok jelentik az egyik legfőbb veszélyt. A kockázat csökkentésére az autorun / autoplay futtatás kikapcsolását szokták javasolni, illetve az új Windows 7 rendszer már gyárilag megszigorítja az automatikus program-végrehajtást.

Egy belorusz cég, a VirusBlokAda azonban azt állítja, hogy június közepén újfajta, fejlett támadásoknál használt USB-alapú kártevőt fedeztek fel, amely még a naprakészen frissített Windows 7 gépeken is fertőzőképes! A Stuxnet (MRX-LNK) nevű rejtőzködő (ún. rootkit) kártevőcsalád terjesztésére használt utasítások nem autorun, hanem .lnk fájlokban rejtőznek - ez a fájltípus a felhasználói programok és a grafikus felületen őket reprezentáló ikonképek közötti kapcsolat létrehozására szolgál.

Elvileg a link kapcsolatok semmit sem csinálnak, amíg a felhasználó rájuk nem kattint a program-indításhoz - a VirusBlokada kutatói szerint azonban az USB-memóriákra kiírt, speciálisan formázott, Windows Vezérlőpult ikon típusú .lnk fájlokból már egyszerű megtekintés, például Windows Intéző vagy Total Commander programmal történő kilistázás esetén lefuthat a kártékony tartalom.

Sajnos az F-Secure antivírus cég szerdai közlése szerint az lnk-trükkös módszert akár Microsoft Office vagy más dokumentum-formátumokba beágyazva is fel lehet használni ártó kód terjesztésére - így komoly esély van rá, hogy a közeli jövőben elterjedtebb, általános célú "WormLink" kártevő-változatok is megjelennek a neten.

Kényes helyen fúr a fejlett ármány

Szerencsére az újfajta támadás még nem általános terjesztésre készült: az ismert kártevő-példányok Frank Boldewin kódvisszafejtő specialista szerint valamilyen kémkedési ügyben szerepelhettek. Erre utal, hogy a trükkös link segítségével a system32 rendszer-könyvtárba telepített mrxnet.sys és mrxcls.sys rejtőzködő rootkit-komponensek a Realtek nevű, nagy hálózati eszközgyártó cég érvényes digitális aláírásával rendelkeznek. Időközben már olyan Stuxnet példányokat is találtak, amely egy másik, JMicron nevű tajvani elektronikai gyártó cég érvényes elektronikus aláírását viselik.

Ilyen fontos, ún. VeriSign hitelesítések jogosulatlan megszerzéséhez a hackereknek valószínűleg komoly, megtévesztésen alapuló műveletet, sőt akár "hagyományos" irodai betörést is végre kellett hajtaniuk - cserében viszont a szignált kártevők felhasználói engedélykérés megjelenítése nélkül, csendben települhetnek a megtámadott számítógépre.

Maga a rejtőzködő kártevő szintén olyasmivel foglalkozik, amit a kutatók korábban még nem láttak: az ipari- és energiatermelésben, az állami és közcélú szolgáltatásoknál használatos ún. SCADA folyamat-irányító rendszerek Siemens gyártmányú WinCC Plus adatbázisát igyekszik lekérdezni. Ez a veszélyes tevékenység minden bizonnyal felkelti majd a rendőri és nemzetbiztonsági szervek érdeklődését is.

Nagy erőkkel folyik a bonyolult vizsgálat

A Realtek céget június végén értesítették az incidensről, de még nem adtak választ arra, hogy miként juthatott ki tőlük illetéktelenekhez az e-tanúsítvány, amelyet egyébként időközben a VeriSign hitelesítés-szolgáltató már visszavont. Az F-Secure antivírus cég blogja nemrég felhívta a figyelmet arra, hogy növekszik a Windows rendszert támadó, digitálisan aláírt, de nem kívánatos vagy éppen kifejezetten kártékony szoftverek mennyisége - ezekből máris több mint 400 ezer, illetve 24 ezer példányt tartanak nyilván.

Az újfajta, USB-alapú önfuttató támadást már a Microsoft biztonsági kutatói is vizsgálják, de kezdetben nehézséget okozott számukra a probléma reprodukálása. Ennek okát Andreas Marx német antivírus terméktesztelő találta meg: szerinte a trükkös .lnk fájlok mindig az adott fertőzött USB kulcs kötet-azonosító számához vannak kapcsolva, ezért a kutatók által kedvelt Olly Debug kódvisszafejtő környezetben csak módosítások futhat a kártevő.

Az ilyen kvázi "hardverkulcsos" védelem is a támadás nehezebb leleplezését szolgálja, így elképzelhető, hogy a Stuxnet rootkit támadás észrevétlenül máris sok ipari vagy közüzemi vállalathoz eljutott világszerte. A VirusBlokAda cég által kiadott közlemény szerint saját antivírus programjuk az új kártevők felismerésének beépítése óta számos "TmpHider" és "SScope.2" rootkit fertőzésről küldött jelzést a központba.

A Microsoft cég által az ügyben közzétett, KB 2286198-as sorszámú tudásbázis cikk végleges megoldással egyelőre nem tud szolgálni, de egy registry-kulcs beállítás és WebDAV-módosítás segítségével lehetővé teszi a sebezhető funkciók kikapcsolását, amíg a szükséges javítófoltok megjelennek. Mivel a Windows ilyen "lebutítása" egyes üzemeltetőknek kényelmetlenséget okozhat, a szoftveróriás várhatóan hamar elkészíti a teljes értékű javítást.