Компания ESET выявила новые вредоносные программы, использующие уязвимость в программной оболочке Windows Shell при обработке LNK-файлов (LNK/Exploit.CVE-2010-2568). Зафиксированы и новые способы распространения подобных угроз.

Как прогнозировали вирусные аналитики компании, создание Win32/Stuxnet вызвало появление новых вредоносных программ и модификаций уже известного ПО, использующего данную уязвимость. Для обнаружения подобных угроз специалисты вирусной лаборатории ESET создали отдельный класс сигнатур - LNK/Autostart.

Уязвимость в Windows Shell используют программы семейства Win32/TrojanDownloader.Chymine (класс downloader-угроз). При установке на компьютер данная программа скачивает кейлоггер Win32/Spy.Agent.NSO, регистрирующий каждое нажатие клавиши на клавиатуре. Аналогичным образом происходит распространение трояна-downloader Win32/Autorun.VB.RP. Выявлено и несколько модификаций вируса Win32/Sality и троянской программы Zeus, использующих данную уязвимость. По данным ESET, Sality постоянно присутствует в десятке наиболее распространенных угроз в мире и может выполнять функции как трояна-загрузчика, так и шпиона или кейлоггера. На счету Zeus миллионы зараженных компьютеров, объединенных в ботнет.

Теперь заражение может происходить не только через USB-носители, но и через общие сетевые папки, а также благодаря специально сформированным файлам для офисного пакета Microsoft. Кроме того, сервер злоумышленников, с которого распространяется вредоносная программа, может формировать адрес web-страницы определенного вида, посредством которого компьютер может быть атакован через браузер.