Novo troiano explora possível 0-day

Nesta última quinta-feira (15/07/10), veio à tona um novo troiano que utiliza um possível 0-day para infectar sistemas operacionais Windows.

Este troiano, identificado pela empresa VirusBlokAda, tem como principal novidade a forma de propagação, onde consegue infectar o sistema operacional Windows através da execução de arquivos do tipo shortcut (.LNK) em dispositivos USB, mesmo sem a utilização do recurso Autorun/Autoplay (autorun.inf), ou seja, o sistema será infectado mesmo se a funcionalidade Autorun esteja desabilitada.

Montando o cenário, a única necessidade para a infecção deste troiano no sistema operacional Windows é "abrir" (montar o dispositivo e visualizar o arquivo, sem a necessidade de clicá-lo) este dispositivo USB através de um gerenciador de arquivos, como o Microsoft Explorer ou Total Commander. Como prova de conceito para confirmar o possível 0-day, foi infectado um S.O. Windows 7 32-bits com todas as atualizações de segurança disponíveis instaladas.

Após a infecção ter sido concluída com sucesso, um malware é executado sem a necessidade de reset do sistema operacional. Seguindo uma tendência dos novos malwares sofisticados, e tendo como objetivo principal ofuscar sua detecção por antivírus e antirootkits, os arquivos são assinados com a assinatura digital da Realtek Semiconductor Corp.

Mais detalhes sobre esse novo troiano podem ser encontrados em:

Um detalhamento sobre o processo de infecção pode ser encontrado no documento disponibilizado pela empresa VirusBlokAda.

Próxima parte

Comentários
Aceita-se formatação à la TWiki. HTML e scripts são filtrados. Máximo 15KiB.

 
Enviando... por favor aguarde...
Comentário enviado com suceso -- obrigado.
Ele aparecerá quando os moderadores o aprovarem.
Houve uma falha no envio do formulário!
Deixei uma nota para os admins verificarem o problema.
Perdoe-nos o transtorno. Por favor tente novamente mais tarde.
Aldo Albuquerque | 2010-07-20 10:15:08 | permalink | topo

E não é só isso: a vulnerabilidade do .LNK já possui implementado um módulo no Metasploit utilizando o método WebDAV.

Links interessantes:

Marco Carnut | 2010-07-18 19:40:14 | permalink | topo

Respondendo a mim mesmo, vejam este link de uma matéria na Slashdot dizendo que a Microsoft ainda não tem planos para consertar a vulnerabilidade:

Marco Carnut | 2010-07-16 22:19:31 | permalink | topo

Quanto tempo será que vai levar dessa vez para a Microsoft lançar um remendo? Façam suas apostas!