Graham Cluley, a Sophos vezető biztonsági tanácsadójának blogjából
Valószínűleg senkinek nem okoz meglepetést, viszont egyre több bizonyíték is lát napvilágot arról, hogy a cyberbűnözők már aktívan használják ki a Windows parancsikon sérülékenységet (úgy is ismert, mint CVE-2010-2568).
A korábbi Stuxnet támadáshoz hasonlóan, egyre több olyan mintát analizált a laborunk, amelyben kártékony kódra mutató speciálisan létrehozott parancsikon állományok (.LNK) próbálják rávenni a Windowst, hogy felhasználói bevatkozás nélkül futtassa le azokat.
Az éjszaka folyamán a Sophos két kártevő mintát látott, amelyek a .LNK sérülékenység által terjedtek. A Sophos ügyfelei már az észlelésük óta védettek az Exp/Cplink-A vagy Troj/Cplink néven elnevezett kártevők ellen - további információt pedig alább olvashatnak róluk:
Troj/Chymin-A
Chymine néven is ismert, ezt a billentyűzet naplózó Trójai programot úgy tervezték, hogy információt lopjon el a fertőzött számítógépekről.
A Troj/Chymin-A kártevőt a kihasznált Windows Parancsikon (.LNK) fájlok tölthetik le.
W32/Dulkis-A
A W32/Dulkis-A az általunk látott két kártevő minta közül az érdekesebb, mivel .LNK parancsikon fájlokat helyez el, amelyek eltávolítható meghajtókon, pl. USB kulcsokon használják ki a sérülékenységet. A Sophos termékei ezeket a .LNK fájlokat Exp/Cplink-A néven észlelik.
A W32/Dulkis-A egy Windows féreg, körülményes Visual Basic nyelvben írták meg, amely bármilyen csatolt eltávolítható tároló eszközre másolja fel magát a 9.tmp nevű (Mal/TDSSPack-Z néven észlelt) fájl, az xxx.dll (W32/Dulkis-A néven észlelt) fájl és a <véletlennév>.tmp (Troj/Nebule-Gen néven észlelt) fájl használatával.
Az eddig általunk látott, és a parancsikon sérülékenységet kihasználó kártékony támadások USB-n keresztül terjednek - de mi megerősítettük már, hogy ugyanezen sérülékenységen alapuló kihasználást már láttak fertőzött weboldalakon keresztül is.
Szeretnék egy különleges megjegyzést tenni azon nagyvállalati ügyfeleink számára, akik már bekapcsolták a Sophos Endpoint Security and Data Protection 9.5 termékben található „Live Protection" képességet, mivel ők már élvezhetik a legújabb felhő technológiánkat, amellyel hatékonyan és proaktívan védhetik rendszereiket a legújabb fenyegetések ellen.