Компания ESET сообщает о регистрации новых способов распространения вредоносных программ, использующих уязвимость в программной оболочке Windows Shell при обработке LNK-файлов (LNK/Exploit.CVE-2010-2568).
Вирусная лаборатория ESET фиксирует постоянный рост заражений червем Win32/Stuxnet. Выполнение вредоносного кода происходит благодаря наличию уязвимости в программной оболочке Windows Shell, связанной с отображением специально подготовленных LNK-файлов.
Как и прогнозировали вирусные аналитики ESET, создание Win32/Stuxnet вызвало появление новых вредоносных программ, а также модификаций уже известного злонамеренного ПО, использующего данную уязвимость. Для обнаружения подобных угроз создан отдельный класс сигнатур - LNK/Autostart.
C помощью технологии раннего обнаружения ThreatSense.Net уже удалось выявить и другие программы, использующие уязвимость в Windows Shell. Речь идет о семействе Win32/TrojanDownloader.Chymine, которое относится к классу downloader-угроз. При установке на компьютер данная программа скачивает кейлоггер Win32/Spy.Agent.NSO, регистрирующий каждое нажатие клавиши на клавиатуре. Аналогичным образом происходит распространение трояна-downloader - Win32/Autorun.VB.RP, который также устанавливает на ПК вредоносное ПО. Кроме того, вирусными аналитиками было выявлено несколько модификаций вируса Win32/Sality, а также троянской программы Zeus, которые используют данную уязвимость. По данным ESET, Sality постоянно присутствует в десятке наиболее распространенных угроз в мире и может выполнять функции как трояна-загрузчика, так шпиона или кейлоггера. На счету Zeus миллионы зараженных компьютеров, объединенных в ботнет.
На сегодняшний день распространение угроз, использующих уязвимость в Windows Shell, осуществляется не только через USB-носители. Теперь заражение может происходить через общие сетевые папки, а также благодаря специально сформированным файлам для офисного пакета Microsoft. Кроме того, сервер злоумышленников, с которого распространяется вредоносная программа, может формировать адрес web-страницы определенного вида, посредством которого компьютер может быть атакован через браузер.