Интерактив
Интерактив
Александр Матросов (ESET) о вирусе Win32/Stuxnet
Крестников Евгений
Опубликовано 21 июля 2010 года
Вирус Win32/Stuxnet интересен, прежде всего, своим механизмом распространения, использующим уязвимость в операционных системах Windows: специально сформированный «ярлык» позволяет запустить вредоносный код при попытке системы отобразить его иконку. Корпорация Microsoft признает наличие бреши в защите и обещает закрыть её в августе. Win32/Stuxnet определяется популярными антивирусными программами, но активное обсуждение проблемы началось только после пресс-релиза ESET. На вопросы «Компьютерры» относительно этой ситуации отвечает Александр Матросов, руководитель Центра вирусных исследований и аналитики российского представительства компании.
- Сколько машин уже заражено и какова динамика распространения вируса?
- Динамика проникновения Win32/Stuxnet достаточно высока из-за особенностей его распространения с использованием USB-накопителей, а также ранее неизвестной уязвимости, обеспечивающей автозапуск вредоносного кода. Каждый день мы наблюдаем увеличение числа заражённых компьютеров примерно на треть от предыдущего показателя. Такое активное распространение ещё связано с тем, что стали появляться вредоносные программы, не имеющие отношение к Win32/Stuxnet, но использующие аналогичную уязвимость для своего распространения. Этот факт заставил нас выделить в отдельный класс LNK/Autostart вредоносные программы, эксплуатирующие CVE-2010-2568.
- Win32/Stuxnet распространяется через локальные носители. Каким образом вирусу удалось заразить значительное число машин?
- В процессе анализа мы не выявили другого функционала, отвечающего за распространение вредоносной программы, кроме заражения при помощи USB-накопителей. На данный момент речь идёт не об эпидемии, но в некоторых странах, таких как США и Иран, активность Win32/Stuxnet на порядки превышает активность в других регионах. Это может быть связано с тем, что вредоносная программа начала своё распространение именно там и попросту вышла из-под контроля злоумышленников, поскольку использовала довольно эффективный способ распространения. Опасность Win32/Stuxnet представляет в первую очередь для крупных промышленных предприятий, которые используют системы SCADA, а не для домашних пользователей.
- Как вирус попадает в защищенные промышленные сети, которые обычно изолированы от внешнего мира?
- Именно поэтому злоумышленники использовали способ распространения угрозы через USB-накопители, а также уязвимость, которая работает на всех ОС компании Microsoft. В процессе анализа Win32/Stuxnet нами был обнаружен функционал, отвечающий за проверку работоспособности интернет-соединения и отправку данных на заранее определённые адреса.
- Сколько промышленных систем поразил Win32/Stuxnet?
- Обнаруженные факты заражения касаются не только пользовательских машин, но и весьма крупных компаний, разглашать информацию о которых мы просто не имеем права.
- Каким образом цифровые подписи компании могли быть скомпрометированы?
- Возможно, дело в инсайдере, который имел отношение к преступной группе, разработавшей этот вирус. Кроме того, можно говорить об отдельной группе злоумышленников, занимающейся непосредственно вопросами подписания вредоносного ПО, у которой этот процесс поставлен на поток. Сейчас все говорят о подписи, отождествленной только с компанией Realtek, но на днях нами были обнаружены компоненты Win32/Stuxnet, якобы подписанные фирмой JMicron. Кстати, обе эти компании имеют офисы в Hsinchu Science Park (Тайвань). Программы, имеющие цифровую подпись уважаемых компаний, во многих HIPS системах считаются заведомо не вредоносными, что позволяет им беспрепятственно обходить защиту. Этот инцидент заставит многих вендоров пересмотреть свое отношение к белым спискам, основанным на доверии к подписанному ПО.
- Насколько вирус опасен для обычных пользователей?
- Win32/Stuxnet преследует определенные цели, не связанные с домашними пользователями. Однако пользователь может принести эту инфекцию к себе на предприятие. Наибольшую опасность представляет тот способ заражения, который Win32/Stuxnet открыл миру, так как уже появились публичные эксплойты, использующие ту же уязвимость.
- Способно ли современное антивирусное ПО надежно защитить пользователя?
- Наши продукты с первых дней обнаруживают этот вектор заражения. Поскольку сигнатуры Win32/Stuxnet занесены в антивирусные базы, ESET NOD32 защищает пользователей от этой угрозы.
К оглавлению
Более 800 000 книг и аудиокниг! 📚
Получи 2 месяца Литрес Подписки в подарок и наслаждайся неограниченным чтением
ПОЛУЧИТЬ ПОДАРОКЧитайте также
Интерактив
Интерактив В. Достов: "Когда мы защищаемся неизвестно от чего, платит покупатель" Евгений Крестников В начале апреля в Думу будет внесен законопроект о национальной платежной системе (НПС). После принятия закона ситуация на рынке электронных денег может кардинально
Интерактив
Интерактив CIO: разговоры о Linux Крестников Евгений Опубликовано 10 июня 2010 года International CIO Congress «White Nights» — главная независимая площадка обмена опытом и выявления тенденций развития ИТ-рынка Северо-Запада России. Корреспонденты «Компьютерры»
Интерактив
Интерактив Константин Харитонов (CineSoft) о Cerebro и iPhone Юрий Ильин Опубликовано 28 июня 2010 года Несколько дней назад компания CineSoft объявила о выходе «мобильной» версии пакета Cerebro — системы управления крупными проектами в развлекательной отрасли.
Интерактив
Интерактив Алексей Новодворский («АЛЬТ Линукс») о национальной ОС Опубликовано 02 сентября 2010 года Опубликовано 02 сентября 2010 года - О национальной ОС на основе GNU/Linux сейчас много говорят. Возникает ощущение, что чиновники и журналисты плохо
Интерактив
Интерактив Дмитрий Шуваев (Pirate Pay) о выгоде для провайдеров Юрий Ильин Опубликовано 13 июля 2010 года Презентация проекта Pirate Pay (он же «Пираты Платят»), состоявшаяся на позапрошлой неделе на Microsoft BizSpark, вызвала всплеск бурных эмоций среди тех, кто
Интерактив
Интерактив Анна Ламтюгина («Яндекс») о сервисе «Народные карты» Андрей Письменный Опубликовано 15 июня 2010 года В начале июня 2010 года компания «Яндекс» объявила о добавлении новых спутниковых снимков к "Народным Яндекс.Картам". Этот сервис
Интерактив
Интерактив Читательское интервью: Антон Салов Юрий Ильин Опубликовано 07 октября 2010 года Мы предлагаем читателям «Компьютерры» задать свои вопросы руководителю проекта Softcloud, «облачного» направления компании Softline, Антону Салову. Компания Softline
Интерактив
Интерактив Алексей Смирнов (ALT Linux) о цене свободного софта Евгений Крестников ОпубликованоЕвгений Крестников В последний день августа газета «Ведомости» опубликовала статью о проведенном российским отделением IDC исследовании. Ссылаясь на
Интерактив
Интерактив Руководитель контент-службы «Яндекса» о виджетах Ирина Матюшонок Опубликовано 28 мая 2010 года Около года назад компания «Яндекс» последовала тренду: запустила сервис "Яндекс.Виджеты". На сегодняшний день в программах сервиса участвуют
Интерактив
Интерактив CeBIT 2010: первые новинки Алексей Стародымов Вчера в немецком городе Ганновере (земля Нижняя Саксония) открылась выставка CeBIT 2010, посвященная информационным и телекоммуникационным технологиям. В рамках этого мероприятия почтенной публике демонстрируются
Интерактив
Интерактив Mobile World Congress 2010. День четвертый, итоги Ольга Топровер День первыйДень второй и третийЧетвертый день, 18 февраля, был заключительным днем работы конгресса. Погода продолжала радовать. Жизнь в павильонах уже не бурлила, а спокойно текла: все стенды пройдены,