Een anti-virusbedrijf uit Wit-Rusland heeft malware ontdekt die Windows snelkoppelingen gebruikt om computers via USB-sticks te infecteren. "Het virus infecteert het besturingssysteem op een ongewone wijze, via een lek in het verwerken van lnk-bestanden, zonder het gebruik van een autorun.info bestand", aldus de advisory van VirusBlokAda.

Gebruikers hoeven een besmette USB-stick alleen via Windows Explorer of een andere file manager te openen die icons kan weergeven, om de malware op het systeem uit te voeren. De malware waar de virusbestrijder voor waarschuwt installeert twee drivers, die code in systeemprocessen injecteren en de malware zelf verstoppen. "Dat is de reden waarom je de malware niet op een geïnfecteerde USB-stick kunt zien."

Spionage
De twee drivers in kwestie gebruiken de digitale handtekening van Realtek, bekend van netwerkkaarten en onboard geluid op moederborden. "De huidige malware is zeer gevaarlijk, omdat het risico van een epidemie bestaat", aldus VirusBlokAda. Het is nog onbekend of het om een nieuwe beveiligingslek gaat. Microsoft zegt de melding te onderzoeken.

Volgens beveiligingsonderzoeker Frank Boldewin zoekt de malware naar Siemens WinCC SCADA systemen of machines die voor het beheer van grote gedistribueerde systemen worden gebruikt, zoals bij fabrieken en energiebedrijven. "Het lijkt erop dat deze malware voor spionage is ontwikkeld", zo merkt hij op.

Update 14:15
Het Finse F-Secure heeft deze analyse van VirusBlokAda online gezet en waarschuwt dat alleen het uitschakelen van Autorun niet meer voldoende lijkt.

Update 2 14:45
Inmiddels heeft ook het Russische Kaspersky Lab hun eerste analyse online gezet. Veel details ontbreken nog. "Misschien is het echt, een onbekend lek in Windows of misschien is het gewoon de nieuwste 'feature' uit Redmond", merkt Alexander Gostev op. De virusbestrijder heeft al een naam verzonnen: 'linkrun'.