image

Virus verspreidt zich via Windows snelkoppeling-lek

donderdag 15 juli 2010, 09:32 door Redactie, 10 reacties

Een anti-virusbedrijf uit Wit-Rusland heeft malware ontdekt die Windows snelkoppelingen gebruikt om computers via USB-sticks te infecteren. "Het virus infecteert het besturingssysteem op een ongewone wijze, via een lek in het verwerken van lnk-bestanden, zonder het gebruik van een autorun.info bestand", aldus de advisory van VirusBlokAda.

Gebruikers hoeven een besmette USB-stick alleen via Windows Explorer of een andere file manager te openen die icons kan weergeven, om de malware op het systeem uit te voeren. De malware waar de virusbestrijder voor waarschuwt installeert twee drivers, die code in systeemprocessen injecteren en de malware zelf verstoppen. "Dat is de reden waarom je de malware niet op een geïnfecteerde USB-stick kunt zien."

Spionage
De twee drivers in kwestie gebruiken de digitale handtekening van Realtek, bekend van netwerkkaarten en onboard geluid op moederborden. "De huidige malware is zeer gevaarlijk, omdat het risico van een epidemie bestaat", aldus VirusBlokAda. Het is nog onbekend of het om een nieuwe beveiligingslek gaat. Microsoft zegt de melding te onderzoeken.

Volgens beveiligingsonderzoeker Frank Boldewin zoekt de malware naar Siemens WinCC SCADA systemen of machines die voor het beheer van grote gedistribueerde systemen worden gebruikt, zoals bij fabrieken en energiebedrijven. "Het lijkt erop dat deze malware voor spionage is ontwikkeld", zo merkt hij op.

Update 14:15
Het Finse F-Secure heeft deze analyse van VirusBlokAda online gezet en waarschuwt dat alleen het uitschakelen van Autorun niet meer voldoende lijkt.

Update 2 14:45
Inmiddels heeft ook het Russische Kaspersky Lab hun eerste analyse online gezet. Veel details ontbreken nog. "Misschien is het echt, een onbekend lek in Windows of misschien is het gewoon de nieuwste 'feature' uit Redmond", merkt Alexander Gostev op. De virusbestrijder heeft al een naam verzonnen: 'linkrun'.

Reacties (10)
15-07-2010, 15:31 door Preddie
redactie, bedankt voor de updates !
15-07-2010, 15:50 door Anoniem
"Note that drivers are signed with digital signature of Realtek Semiconductor Corp."

Oeps!
15-07-2010, 16:27 door [Account Verwijderd]
[Verwijderd]
15-07-2010, 16:30 door [Account Verwijderd]
[Verwijderd]
15-07-2010, 17:37 door spatieman
kwamen niet veel skimm bendes en virus schrijvers uit rusland ?
15-07-2010, 18:44 door Anoniem
autorun.inf dus...
15-07-2010, 20:43 door [Account Verwijderd]
[Verwijderd]
15-07-2010, 21:28 door johanw
Ik dacht dat die skimmers bijna allenmaal Roemenen waren?
16-07-2010, 09:15 door Anoniem
Door Anoniem: "Note that drivers are signed with digital signature of Realtek Semiconductor Corp."

Maar het lijkt wel een oud certificaat. Alsof ze een nieuwe hebben aangevraagd en de oude bij het afval hebben gezet.

Peter
16-07-2010, 09:46 door Anoniem
Door Anoniem:
Door Anoniem: "Note that drivers are signed with digital signature of Realtek Semiconductor Corp."

Maar het lijkt wel een oud certificaat. Alsof ze een nieuwe hebben aangevraagd en de oude bij het afval hebben gezet.

Peter

Dat is de grap. Je kunt het certificaat of key niet vervangen of terugtrekken, eenmaal gedistribueerd in executables is het daar. Het zijn geen Toyota's.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.