Уже по всему миру распространилась информация о новой угрозе для ПК – Win32/Stuxnet, как о совершенно новом векторе вредоносных программ. Т.к. эксперты антивирусной компании ESET прогнозируют наплыв хакеров, желающих использовать это «новое слово» в вирусописании, важно, чтоб пользователи ПК уже заранее подготовились к возможным атакам. Предупрежден – вооружен.

Итак, совсем недавно – 9 июля стало известно, что мир имеет «уникальную» возможность познакомиться с новейшим червем Win32/Stuxnet, по всем признакам направленным на промышленный шпионаж. ESET сразу включил червя в вирусные базы, потому, если у вас стоит NOD32 или Smart Security – можете спать спокойно.

Интересным фактором является то, что этот червь представляет собой пример атаки, использующей уязвимость «нулевого дня», т.е. уязвимость о которой не известно широкой общественности. А именно, общественности не было ничего известно о дыре в Windows® OS в обработке файлов с расширением LNK для несанкционированного распространения с зараженных флеш-карт. Причем уязвимыми оказались все операционные системы начиная от Windows XP и включая Windows 7.

Уникальности же добавляет и то, что этот «новорожденный» имел легальную цифровую подпись от JMicron для подписания драйверов JMB 36x Host Controller Drivers R1.17.55. В частности, «благодаря» наличию легальных подписей и двум находящимся в них драйверам, Win32/Stuxnet также может обходить технологию HIPS (Host Intrusion Prevention System), которая защищает от попыток внешнего воздействия на систему, что логично, ведь наличие цифровой подписи у многих систем считается признаком легальной программы. 

 

Серийный номер сертификата - "47 6f 49 f4 c9 59 f6 56 e9 aa 1e b8 7f c5 29 bb."  Сейчас уже известно, что подпись была украдена и на данный момент сертификат уже отозван, равно как и ранее использовавшийся копанией RealTek.

Кроме того, особенное внимание заслуживает и география распространения Win32/Stuxnet.

Как видно из «пирога», более всего пострадала Америка – на ее долю пришлось 58% всех зараженных компьютеров, а Ирану выпало «всего» 30%. Третьей по уровню проникновения страной стала Россия, на долю которой пришлось около 4% зараженных ПК. Остальным же странам досталось совсем по чуть-чуть. Географию атак специалисты ESET связывают с «привлекательностью» стран в контексте промышленного шпионажа.

Каков же эффект этого червя? Наибольшую угрозу он представляет промышленным предприятиям. Интересным является факт, что в процессе его анализа не было обнаружено явных способов кибепреступной монетизации, т.е. пока остается загадкой возможно ли эту атаку использовать в целях финансового заработка. Зато были найдены возможности сбора информации из SCADA систем, которые, как правило, используются на крупных промышленных предприятиях. Потому и выдвинуто предположение, что эта хакерская атака направлена именно на промышленный шпионаж. 

Представляя наибольшую опасность промышленным объектам, червь почти не затронул пользователей частных ПК - для них этот червь в среднем настолько же опасен, как любая другая вредоносная программа.
Каков же способ защиты от него? Все просто, как и слюбым другим вредоносным ПО: 1. Установить добротный антивирус – несмотря на то, что способ избит, всеже он прост и эффективен; 2. Установить обновления, если ваш антивирус все еще этого не делает автоматически; 3.С нетерпением ждать заплатки, обещаной Microsoft и надеяться, что патч будет годен для вашей версии Windows, а пока можете установить патч от Microsoft (http://blog.eset.com/2009/08/25/now-you-can-fix-autorun), который делает autorun  доступным только для CD и DVD. Правда флешки иногда могут быть сконфигурованы так, что они выглядят как CD, но все же это снижает риск заражения. Ну или просто отключить autorun – тоже не дает 100% гарантии, но будет поспокойнее.

Больше о новой угрозе читайте здесь: http://blog.eset.com/2010/07/17/windows-shellshocked-or-why-win32stuxnet-sux и в других статьях блога антивирусной компании ESET: http://blog.eset.com/