Un communiqué de l’éditeur d’A.V. Biélorusse VirusBlockAda nous apprend l’existence d’un vecteur d’attaque particulièrement novateur et vicieux. L’infection se propagerait via des supports amovibles USB, sans utiliser la fonction Autorun (supprimée en grande partie depuis les récentes mises à jour de Windows).
Dans un premier temps,l’infection exploite une particularité de la gestion des fichiers portant l’extension .lnk (les icones de raccourci). Exploit qui a son tour installe deux pilotes « rootkit » chargés notamment de masquer toute présence du malware lors d’un browse des répertoires. Comble de la perversion, ces deux pilotes portent une signature légitime… usurpée au constructeur Realtek. Ce rootkit serait, aux dires des chercheurs, largement diffusé « dans la nature ».
L’exploit de type « auto exécution du lnk » se déclenche dès qu’un examen du répertoire est lancé, précise le communiqué, quelque soit le navigateur de fichier utilisé : Windows Explorer ou Total Commander (un clone de Norton Commander/Midnight Commander sous Windows). Il s’agit donc d’une caractéristique propre au noyau ou à l’interprète de commande, et non à Explorer ou l’un de ses composants. Génétiquement parlant, « l’exploit lnk » est très intéressant et peut éveiller quelques belles vocations virales si la méthode parvient à être connue.