Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Kolejne zainfekowane urządzenie

Roel Schouwenberg
Kaspersky Lab Expert
Dodany 19 maja 2009, 11:44 CEST
Tagi:

Jesteśmy na etapie wprowadzania na rynek produktu przeznaczonego dla netbooków, dlatego przeprowadzamy testy kompatybilności na najnowszych komputerach tego typu. Wczoraj kupiliśmy do testów nowiuteńki M&A Companion Touch. Po wstępnych testach skontaktowała się ze mną grupa testująca, podejrzewając infekcję szkodliwym oprogramowaniem. Czyżby kolejny przypadek urządzenia "zainfekowanego fabrycznie"?

W wyniku skanowania wykryliśmy następujące szkodniki: Worm.Win32.AutoRun.aayn, Rootkit.Win32.Agent.hwq oraz Packed.Win32.Krap.g. Dla zainteresowanych zamieszczam poniżej ich sumy kontrolne MD5:

Worm.Win32.Autorun.aayn: 0x4f90e62489e5a891a1d9520408164b8c
Rootkit.Win32.Agent.hwq: 0x7f289b08a41ef6c26b684dc4d95028ee
Packed.Win32.Krap.g: 0x1928c09bdb7d2c7d1180bf2105e1315a

Analiza wykazała, że pliki są tam już od lutego 2009 roku, długo przed tym, jak nabyliśmy netbooka.

Robak AutoRun rozprzestrzenia się na urządzenia przenośne, wykorzystując słaby punkt sposobu implementacji tej funkcjonalności przez firmę Microsoft. Pisałem o tym problemie na portalu zdnet. Prawdopodobnie miała miejsce następująca sytuacja: ktoś użył zainfekowanej pamięci USB i podłączył ją do maszyny podczas instalowania dla niej sterowników.

Celem tego robaka jest kradzież haseł do wielu gier online, takich jak Lord of the Rings czy Maple Story. Szkodnik wykorzystuje specjalny mechanizm: aby "oszukać" rozwiązania bezpieczeństwa, pliki PE są szyfrowane, a następnie dodawany jest do nich fałszywy nagłówek RAR. "Zmodyfikowane" w ten sposób pliki wykrywamy jako Trojan.Win32.Ramag.

Incydent ten po raz kolejny pokazuje, że nawet nowe produkty mogą opuścić fabrykę zainfekowane. W takich przypadkach ochrona przed infekcją jest szczególnie trudna. Najskuteczniejszym rozwiązaniem zwykle jest przeprowadzenie skanowania offline przy użyciu rozwiązania bezpieczeństwa z aktualnymi bazami danych. Ponieważ od infekcji urządzenia do momentu, w którym dostało się ono w twoje ręce, na pewno minęło trochę czasu, rozwiązanie bezpieczeństwa nie będzie miało żadnych problemów z wykryciem szkodliwego oprogramowania.

Naturalnie, poinformowaliśmy M&A o naszym odkryciu. Ponieważ urządzenie jest sprzedawane, ostrzegamy również użytkowników.