Er is malware opgedoken die gebruikmaakt van een niet eerder beschreven lek in Windows. Wat verder opvalt, is dat de rootkit-drivers die onderdeel van de malware zijn een certificaat van het bedrijf Realtek dragen.
De malware werd onlangs ontdekt door een antivirusbedrijf uit Wit-Rusland en maakt gebruik van een fout in de manier waarop Windows .lnk-bestanden verwerkt, zo meldt Security.nl. Gebruikers die een besmette usb-stick openen in Explorer of een andere filemanager die iconen van .lnk-bestanden toont, zijn al vatbaar voor de malware. De malware hanteert niet de veelgebruikte methode om via een autorun.inf-bestand ongevraagd processen te starten. Ook Windows 7 met alle nieuwste updates zou vatbaar zijn voor de exploit.
Als de malware wordt uitgevoerd, installeert deze twee verschillende rootkit-drivers die code in systeemprocessen kunnen injecteren. Het opmerkelijke aan deze drivers is dat ze met een certificaat van hardwarefabrikant Realtek zijn ondertekend. Volgens Alexander Gostev van Kaspersy Labs is de signatuur legitiem, al is deze op 12 juni jongstleden verlopen. Mogelijk is dat ook de reden dat de malware nu pas is ontdekt, aangezien de malafide drivers al uit januari stammen.
De malware, die door Kaspersky Stuxnet is gedoopt, is sinds zijn ontdekking op meer dan 16.000 systemen aangetroffen. Het overgrote deel van deze systemen staat in India, Iran en Indonesië. Hoe de makers aan de Realtek-signatuur zijn gekomen is nog niet duidelijk. Gostev speculeert dat Realtek zijn driver-ontwikkeling mogelijk heeft uitbesteed in India, waar het certificaat vervolgens is uitgelekt. De drivers zouden mogelijk ook echt van Realtek afkomstig zijn en door de malware-makers zijn misbruikt om een rootkit te maken. Een aantal jaar terug bleek dat een drm-oplossing van Sony veel weghad van een rootkit. Op basis van deze Sony-drivers verscheen toen ook malware.
Volgens beveilingsexpert Frank Boldewin is de malware speciaal gemaakt om WinCC SCADA-systemen van Siemens aan te vallen. Hij zegt in de malware code te hebben gevonden die poogt een verbinding met de databases van dergelijke systemen te leggen. VirusBlokAda, het bedrijf dat de malware als eerste ontdekte, heeft met Realtek contact over de kwestie opgenomen, maar een antwoord is tot dusver uitgebleven.
Pingback: BSurinx.be Blog » ‘Microsoft brengt noodpatch uit voor lek in snelkoppelingen’