В Сети под видом утилиты для удаления червя Stuxnet распространяется троян
Согласно данным антивирусной компании Symantec, инцидент с червем Stuxnet, поразившим ряд промышленных объектов, получил неожиданное продолжение: злоумышленники выпустили троянскую программу, распространяющуюся под видом бесплатной утилиты «для удаления Stuxnet с заражённого компьютера».
Родоначальник «вирусов-террористов» W32.Stuxnet представляет угрозу для промышленных предприятий, поскольку его действие направленно на системы управления промышленным оборудованием. Посредством Stuxnet злоумышленники пытаются установить контроль над производственными процессами и системами, такими как сборочные конвейеры и электростанции.
«Удалением Stuxnet озабочены многие, однако забывая, что бесплатный сыр бывает только в мышеловке, и веря в чудодейственные утилиты, они рискуют еще больше навредить своим системам, – заявил Олег Шабуров, старший системный инженер Symantec в России и СНГ. – Нам не известно, пострадали ли от этой утилиты системы промышленных предприятий, зараженных Stuxnet, но, несомненно, многие рядовые пользователи с этим столкнулись».
Как показали исследования Symantec, на различных форумах обсуждается некое бесплатное средство для удаления Stuxnet, однако в действительности данное средство само является вредоносным ПО (антивирус Symantec определяет данную вредоносную программу как Trojan.Fadeluxnet). Специалисты Symantec провели анализ образца данной утилиты.
В свойствах исполняемого файла этой утилиты утверждается, что она предоставлена корпорацией Microsoft, на что указывают следующие поля:
«Название (Description): Microsoft Stuxnet Cleaner»
«Авторские права (Copyright): Microsoft Corporation».
Как удалось выяснить специалистам Symantec, на самом деле данная программа не является разработкой Microsoft. Если пользователь запустит исполняемый файл, то программа сначала изменит некоторые ключи реестра, отвечающие за ассоциацию действий пользователя с файлами с расширением .exe, .mp3, .jpg, .bmp и .gif, что сделает данные файлы непригодными для использования и заблокирует их запуск, а затем она прервёт работу различных процессов. Что хуже всего, программа удаляет все файлы с диска «С» (включая Stuxnet, если он был на этом диске).