Поддельная утилита для удаления Stuxnet

Известный инцидент с червем Stuxnet, поразившим ряд промышленных объектов, получил неожиданное продолжение: злоумышленники выпустили троянскую программу, распространяющуюся под видом бесплатной утилиты для очистки зараженного компьютера от Stuxnet.

Родоначальник «вирусов-террористов» W32.Stuxnet стал предметом широкой дискуссии среди исследователей в сфере безопасности. Вирус Stuxnet представляет угрозу для систем управления промышленным оборудованием, имея цель установить контроль над производственными процессами и системами, такими, как сборочные конвейеры и электростанции.

Как показали исследования компании Symantec, в различных форумах обсуждается бесплатное средство для удаления Stuxnet, однако данное средство само является вредоносным ПО. Анализ образца данной утилиты подтвердил подозрения в ее опасности.

В свойствах исполняемого файла этой утилиты утверждается, что она предоставлена компанией Microsoft, на что указывают следующие поля:

Название (Description): Microsoft Stuxnet Cleaner

Авторские права (Copyright): Microsoft Corporation

Но данная программа не была разработана Microsoft. Если запустить исполняемый файл, программа сначала изменит некоторые ключи реестра, отвечающие за ассоциацию действий пользователя с файлами с расширением .exe, .mp3, .jpg, .bmp и .gif, что сделает данные файлы непригодными и заблокирует их запуск. Затем программа прерывает работу различных процессов и в довершение всего удаляет все файлы с диска «С».

Компания Symantec определяет данную вредоносную программу как Trojan.Fadeluxnet.