Просматривая статистику локальных угроз я натолкнулся на описание одной уязвимости в ОС Windows. Эксплуатировать её не буду сейчас, нет необходимости, но вот описать подобную вещь, думаю, стоит.
Вообще, сейчас огромное распространение получили вредоносные программы, распространяемые через съемные USB устройства. Оно и понятно. Обилие телефонов, флешек, съемных дисков на руках пользователей делает этот способ распространения очень удобным. А вкупе с недостаточными знаниями в области защиты информации среднестатистического пользователя, распространение через флешки носит настолько массовый характер, что можно сказать, что каждый второй компьютер подвергался воздействию этих вредоносов.
Разумным решением для пользователя, который не хочет сильно заморачиваться на воздвижении защиты вручную становится покупка лицензионного антивируса.
Но можно побороть проблему ещё в корне. Отключить автозапуск съемных носителей через редактор групповых политик. Но даже это не особо помогает при эксплуатации уязвимости CVE-2010-2568.
Просмотреть видео об этой уязвимости можно тут, весьма интересное зрелище. В этом видеоролике просто переименовали ярлык, что привело к эксплуатации уязвимости, (отобразилось диалоговое окно).
А вообще, работа данного зловреда похожа на работу другого троянца. Наверное сталкивались с тем, что с флешки вдруг все папки исчезают, а вместо них – ярлыки (запуск которых приводит к запуску зловреда). На деле, конечно, папки делаются скрытыми, что лечится несложно:
> attrib <имя папки> -s -h -r
Так же можно автоматизировать все это в одну команду:
> for /f "tokens=* " %i in ('dir G: /A:D /B') do attrib "%i" -s -h
Так вот, что будет делать обычный пользователь, когда открыв флешку в проводнике увидит такие же ярлычки с именем папок и иконками папок. Конечно же запустит их! Вирусня получает распространение.
Так же, есть вариант, что на флешке создается ссылка на саму флешку, и файл троянца. Всё, разумеется, скрытое. Данные в папке “вложенной” сама в себя, а в корне ярлык на запуск троянца с именем ~$WHHS.FAT32 :).Прекрасно детектируется антивирусами.
Команда dir в данном случае показывает все директории (объекты с атрибутами (/A:) “директория” D), можно указать вообще поиск скрытых системных, тогда ключи будут: /A:DHS