Przestępcy wysyłają e-maile zawierające zainfekowane dokumenty programu Word, które stwarzają zagrożenie, gdy ofiara dokona pobrania i otworzy pliki. Na niezałatanym systemie automatycznie instalowane są złośliwe aplikacje, więc hakerzy szybko uzyskują dostęp atakowanych komputerów.

Choć musimy jeszcze do ustalić całkowitą liczbę ofiar, wydaje się, że prawie 12.000 unikalnych adresów IP z ponad 100 krajów podłączono do dwóch systemów dowodzenia i kontroli (C&C) związanej z SafeNet. Odkryliśmy również, że średnia liczba rzeczywistych ofiar wyniosła 71 na dzień – wyjaśniają specjaliści Trend Micro. Firma twierdzi, że udało się wyśledzić hakera i znaleźć jego lokalizację. Mimo, że namierzony atak został zapoczątkowany w Chinach, specjaliści, mówią, że nie wszystkie ataki były prowadzone z tej samej lokalizacji.

Autor złośliwego oprogramowania używanego w kampanii jest prawdopodobnie profesjonalnym programistą, który studiował na politechnice w Chinach.

Microsoft jeszcze nie wydał oficjalnego komentarza w tej sprawie.

Źródło: Softpedia

Warto zaznaczyć, że szkodliwe oprogramowanie, które jako pierwsze skorzystało z tej luki, wydawało się nastawione w szczególności na systemy SCADA. Są to systemy powszechnie stosowane w zakładach komunalnych do sterowania dostawami m.in. wody i energii elektrycznej, a także w produkcji masowej.

Luka ta sprawia, że użytkownik oglądający zawartość folderu, gdzie znajduje się pewien skrót, jest narażony na infekcję, nawet jeśli nie kliknie tego skrótu dwukrotnie ani nie wyświetli kryjącego się pod nim dokumentu. Niebezpieczeństwo wynika zwłaszcza z funkcji automatycznego uruchamiania urządzeń USB, ponieważ samo włożenie dysku USB powoduje automatyczne wyświetlenie folderów i stwarza zagrożenie dla użytkownika.

Chociaż ta luka będzie najprawdopodobniej wykorzystywana głównie za pośrednictwem dysków wymiennych, to użytkownicy powinni uważać na wszystkie pliki skrótów, których autentyczności nie są pewni. Ta sama luka może być potencjalnie wykorzystana poprzez zainfekowane udziały plików lub nawet przez zwykły szkodliwy plik skompresowany, np. ZIP.

Zamiast umieszczać na dyskach stałych i wymiennych plik AUTORUN.INF i swoją kopię, wirus używany w tym ataku umieszcza na nich plik .LNK, który jest skrótem wskazującym na plik wykonywalny. Umieszczony w ten sposób plik .LNK korzysta ze wspomnianej luki, aby umieścić nową kopię wirusa (WORM_STUXNET.A) w innych systemach. Ponadto ten wirus umieszcza rootkit, który służy mu do ukrycia jego procesów. Dzięki temu pozostaje niezauważony przez użytkownika, a badaczom trudniej jest przeanalizować jego działanie.

Ponieważ wirus korzystający z tej luki w zabezpieczeniach cały czas się rozprzestrzenia, możliwe są dalsze ataki. Biuletyn Microsoft Security Advisory 2286198 zawiera instrukcje, jak dezaktywować wyświetlanie ikon skrótów oraz wyłączyć tymczasowo usługę WebClient, dopóki nie będzie dostępna poprawka.

Użytkownicy infrastruktury Trend Micro Smart Protection Network są od 15 lipca chronieni przed szkodliwym kodem użytym do tego ataku. Inni użytkownicy mogą sprawdzić, czy ich komputer nie jest zainfekowany, i usunąć infekcję, korzystając ze skanera Trend Micro HouseCall.