Александр Матросов (ESET) о вирусе Win32/Stuxnet Крестников Евгений

Александр Матросов (ESET) о вирусе Win32/Stuxnet

Крестников Евгений

Опубликовано 21 июля 2010 года

Вирус Win32/Stuxnet интересен, прежде всего, своим механизмом распространения, использующим уязвимость в операционных системах Windows: специально сформированный «ярлык» позволяет запустить вредоносный код при попытке системы отобразить его иконку. Корпорация Microsoft признает наличие бреши в защите и обещает закрыть её в августе. Win32/Stuxnet определяется популярными антивирусными программами, но активное обсуждение проблемы началось только после пресс-релиза ESET. На вопросы «Компьютерры» относительно этой ситуации отвечает Александр Матросов, руководитель Центра вирусных исследований и аналитики российского представительства компании.

- Сколько машин уже заражено и какова динамика распространения вируса?

- Динамика проникновения Win32/Stuxnet достаточно высока из-за особенностей его распространения с использованием USB-накопителей, а также ранее неизвестной уязвимости, обеспечивающей автозапуск вредоносного кода. Каждый день мы наблюдаем увеличение числа заражённых компьютеров примерно на треть от предыдущего показателя. Такое активное распространение ещё связано с тем, что стали появляться вредоносные программы, не имеющие отношение к Win32/Stuxnet, но использующие аналогичную уязвимость для своего распространения. Этот факт заставил нас выделить в отдельный класс LNK/Autostart вредоносные программы, эксплуатирующие CVE-2010-2568.

- Win32/Stuxnet распространяется через локальные носители. Каким образом вирусу удалось заразить значительное число машин?

- В процессе анализа мы не выявили другого функционала, отвечающего за распространение вредоносной программы, кроме заражения при помощи USB-накопителей. На данный момент речь идёт не об эпидемии, но в некоторых странах, таких как США и Иран, активность Win32/Stuxnet на порядки превышает активность в других регионах. Это может быть связано с тем, что вредоносная программа начала своё распространение именно там и попросту вышла из-под контроля злоумышленников, поскольку использовала довольно эффективный способ распространения. Опасность Win32/Stuxnet представляет в первую очередь для крупных промышленных предприятий, которые используют системы SCADA, а не для домашних пользователей.

- Как вирус попадает в защищенные промышленные сети, которые обычно изолированы от внешнего мира?

- Именно поэтому злоумышленники использовали способ распространения угрозы через USB-накопители, а также уязвимость, которая работает на всех ОС компании Microsoft. В процессе анализа Win32/Stuxnet нами был обнаружен функционал, отвечающий за проверку работоспособности интернет-соединения и отправку данных на заранее определённые адреса.

- Сколько промышленных систем поразил Win32/Stuxnet?

- Обнаруженные факты заражения касаются не только пользовательских машин, но и весьма крупных компаний, разглашать информацию о которых мы просто не имеем права.

- Каким образом цифровые подписи компании могли быть скомпрометированы?

- Возможно, дело в инсайдере, который имел отношение к преступной группе, разработавшей этот вирус. Кроме того, можно говорить об отдельной группе злоумышленников, занимающейся непосредственно вопросами подписания вредоносного ПО, у которой этот процесс поставлен на поток. Сейчас все говорят о подписи, отождествленной только с компанией Realtek, но на днях нами были обнаружены компоненты Win32/Stuxnet, якобы подписанные фирмой JMicron. Кстати, обе эти компании имеют офисы в Hsinchu Science Park (Тайвань). Программы, имеющие цифровую подпись уважаемых компаний, во многих HIPS системах считаются заведомо не вредоносными, что позволяет им беспрепятственно обходить защиту. Этот инцидент заставит многих вендоров пересмотреть свое отношение к белым спискам, основанным на доверии к подписанному ПО.

- Насколько вирус опасен для обычных пользователей?

- Win32/Stuxnet преследует определенные цели, не связанные с домашними пользователями. Однако пользователь может принести эту инфекцию к себе на предприятие. Наибольшую опасность представляет тот способ заражения, который Win32/Stuxnet открыл миру, так как уже появились публичные эксплойты, использующие ту же уязвимость.

- Способно ли современное антивирусное ПО надежно защитить пользователя?

- Наши продукты с первых дней обнаруживают этот вектор заражения. Поскольку сигнатуры Win32/Stuxnet занесены в антивирусные базы, ESET NOD32 защищает пользователей от этой угрозы.

К оглавлению