Podjetje F-Secure sporoča, da je na internetu že dostopna koda za izkoriščanje doslej neznane ranljivosti operacijskega sistema Windows

Za okužbo računalnika zadošča, da uporabnik v Raziskovalcu pogleda vsebino imenika, ki vsebuje prirejeno datoteko .LNK. Poizkuša se prijaviti na podatkovno bazo nadzornega sistema podjetja SIEMENS, ki se uporablja v industrijskih okoljih. Ker Microsoft še ni pripravil popravka napake, je ISC stopnjo ogroženosti interneta dvignil na rumeno.

 

Maribor, 20. julija 2010 - Finsko podjetje za računalniško varnost F-Secure (HEX: FSC), ki ga v Sloveniji zastopa podjetje Amis, sporoča, da se je v zadnjih dneh v različnih državah pojavil nov trojanski konj, ki izkorišča doslej neznano ranljivost operacijskega sistema Windows. Koda za izkoriščanje nove ranljivosti je že javno dostopna, zato je organizacija ISC (Internet Storm Center) stopnjo ogroženosti uporabnikov interneta dvignila na rumeno (druga stopnja na štiristopenjski lestvici).

 

Trojanski konj se sproži, če uporabnik v raziskovalcu zgolj pogleda vsebino mape (na USB ključu ali mapi v skupni rabi ter kot WebDAV storitev), ki vsebuje ustrezno prirejeno datoteko .LNK. Takoj zatem se trojanski konj namesti in skrije svojo prisotnost (njegove datoteke izginejo).

 

Napaka, ki omogoča samodejno izvajanje, je prisotna v vseh sodobnih operacijskih sistemih Microsoft Windows (XP SP3, Vista, 32-bitni Windows 7). Napaka je prisotna tudi v operacijskih sistemih, za katere Microsoft ne bo pripravil popravka (Windows 2000 in Windows XP SP2).

 

Posebnost je tudi, da je trojanski konj podpisan z digitalnim podpisom podjetja "Realtek Semiconductor Corp". Veljavnost certifikata, s katerim je podpisan, je sicer potekla 12. junija 2010. Varianta D (Rootkit:W32/Stuxnet.D) je podpisana z veljavnim digitalnim podpisom drugega podjetja in sicer "JMicron Technology Corporation" (ta certifikat je veljaven do 25. julija 2012).

 

Poleg dejstva, da trojanski konj izkorišča doslej neznano ranljivost, se poizkuša prijaviti tudi na podatkovne baze sistemov Siemens SIMATIC WinCC, ki se uporabljajo v industrijskih okoljih (med uporabniki so elektrarne, kemična industrija, ...). Zaradi tega obstaja sum, da je bil trojanski konj razvit za potrebe industrijskega vohunjenja.

 

Situacija je postala resna, saj se je čez vikend na različnih spletnih straneh pojavila koda, ki omogoča izdelavo drugih škodljivih programov, ki bi izkoriščali to ranljivost.

 

Sean Sullivan, svetovalec za varnost pri podjetju F-Secure, je povedal: “Napaka je nevarna in razmere so zelo resne, dokler Microsoft ne pripravi popravka. Še posebej so ogroženi uporabniki operacijskega sistema Windows XP SP2, saj le-ta ni več podprt in Microsoft zanj ne bo pripravil popravka. Glede na statistike podjetja F-Secure mnogi še vedno uporabljajo XP SP2.”

 

Poleg tega naj predvsem podjetja razmislijo o pogojih uporabe naprav USB. “Ogroženost podjetij se lahko zmanjša, če imajo podjetja ustrezna pravila glede uporabe naprav USB”, pravi Sullivan.

 

Laboratorij podjetja F-Secure za računalniško varnost sveže informacije o novem trojanskem konju sproti objavlja na spletni strani http://www.f-secure.com/weblog/ .

 

Programi podjetja F-Secure datoteke, ki izkoriščajo novo ranljivost, prepoznajo pod imenom Exploit:W32/WormLink.A .