נוזקה חדשה מתפשטת ברחבי העולם באמצעות כונני USB

Stuxnet היא נוזקה מסוג rootkit, המתפשטת אפילו כשמנגנוני AutoRun ו-AutoPlay חסומים ● היא פוגעת במערכות ההפעלה Windows 7 Enterprise Edition במחשבי x86 ואופן הפעולה שלה עדיין אינו ברור

מומחי אבטחה מתריעים מפני נוזקה חדשה בשם Stuxnet המתפשטת במחשבי PC ברחבי העולם דרך כונני USB תוך ניצול פרצה שטרם תוקנה (Zero day) במערכות חלונות (Windows). הנוזקה מתפשטת אפילו כשמנגנוני AutoRun ו-AutoPlay חסומים ופוגע במערכות ההפעלה Windows 7 Enterprise Edition במחשבי x86.

על הנוזקה דיווחה לראשונה חברת האנטי וירוס VirusBlokAda מביילרוס. על פי ההודעה שפרסמה החברה, די לפתוח התקן אחסון USB נגוע בסייר הקבצים של חלונות, או בכל תוכנה אחרת לניהול קבצים שיכולה להציג סמלים, כדי להדביק את מערכת ההפעלה ולאפשר הפעלה של הנוזקה. לאחר ההדבקה נוקטת הנוזקה, מסוג rootkit, צעדים נוספים כדי לפגוע בקבצים בעלי סיומת .lnk ובתהליכי המערכת.

על פי הדיווחים, היעד של הנוזקה הוא לאסוף מידע ביחס לתוכנת הפיקוח והבקרה (SCADA) של סימנס (Siemens), אך אופן הפעולה שלה עדיין אינו ברור. "למרות שהניתוח טרם הושלם, נראה כי הפרצה היא באופן הטעינה של התמונה המציינת את קיצור הדרך על ידי סייר הקבצים של חלונות", אמר צ'סטר ווישנייבסקי, מומחה אבטחה מחברת האנטי וירוס סופוס (Sophos). "הפרצה בתפקוד זה מנוצלת להפעלה של קובץ DLL שטוען את המזיק למערכת".

ווישנייבסקי מוסיף, כי הנוזקה עושה שימוש בקובצי .lnk כדי "לטעון קבצים מהתקני אחסון USB באופן שלא נעשה בו שימוש בעבר". כדי להדביק כונני USB נוספים יוצר המזיק קובצי .lnk חדשים עבור כל התקן USB חדש. קובצי ה-DLL מוסווים כמנהלי התקנים (דרייברים) על מנת לאפשר טעינה אוטומטית על סמך חתימה דיגיטלית תקפה של חברת Realtek Semiconductor.

מומחי אבטחה הביעו חשש מכך שעברייני הרשת הצליחו להניח את ידיהם על חתימה דיגיטלית של חברה ידועה ולגיטימית – דבר שמעורר סימני שאלה ביחס ליכולת לסמוך בעתיד על חתימות דיגיטליות. "מזיק שנושא חתימה דיגיטלית תקפה הוא אחד הסיוטים הגדולים ביותר של מפתחי האנטי וירוס", כתב אלכס גוסטב, מומחה אבטחה מחברת האנטי וירוס קספרסקי (Kaspersky), בהודעה שפרסם בבלוג.

כדי להטליא את הפרצה יהיה צורך בתיקון רשמי שתשחרר מיקרוסופט (Microsoft), ואין די בביטול התוקף של החתימה הדיגיטלית של Realtek Semiconductor. למעשה, "לא ניתן לקרוא בחזרה אישורים של חברה דוגמת Realtek, משום שאז לא ניתן יהיה להשתמש בכל מנהלי ההתקנים של ציוד החומרה מתוצרת החברה", הסביר גוסטב.

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים