Stopvirus 117 Опубликовано 20 июля, 2010 Share Опубликовано 20 июля, 2010 Корпорация Microsoft в пятницу предупредила пользователей о том, что специалисты компании зафиксировали уязвимость в операционной системе Windows XP, связанную с инфицированными USB-накопителями. Согласно данным корпорации уязвимость затрагивает Windows XP Service Pack 2. Напомним, что с прошлой недели софтверный гигант прекратил основную поддержку данной версии системы. В описании, размещенном на сайте Microsoft, говорится, что хакеры используют данную уязвимость уже около месяца. Уязвимость проявляется в том, что ОС Windows обычно работает с файлами-ярлыками, которые традиционно размещаются на Рабочем столе или в меню Пуск системы и как правило эти ярлыки указывают на конкретные локальные файлы или программы. В случае с уязвимостью ярлык связан со злонамеренным программным обеспечением Stuxnet. Данное семейство злонамеренных программ включает в себя троянца, который при попадании на компьютер пытается сюда же загрузить и другие образцы вредоносных программ, в частности руткиты. В корпорации говорят, что ярлык связан с удаленным программным обеспечением и при размещении USB-носителя в системе Windows пытается автоматически запустить ярлык. Согласно данным Microsoft Trustworthy Computing, до 15 июля было зафиксировано около 6000 случаев инфицирования. Первые же данные об этой угрозе появились еще 17 июня. После исследования проблемы, инженеры корпорации сообщили, что хакерская система эксплуатирует невозможность Windows правильно обрабатывать файлы с расширением .ink, применяемым к ярлыкам. За счет этого, троян даже не нужно запускать пользователю, просто нужно открыть флеш-накопитель в любом файловом менеджере, например в том же Проводнике. В сообщении корпорации сказано, что изначально уязвимость была создана для работы c USB-накопителями, но она также может распространяться и через сетевые диски или доступные через WebDAV ресурсы. Пока в корпорации не говорят, когда будет выпущено исправление, однако если оно не будет выпущено до следующего ежемесячного багфикса, то пользователи смогут получить патч лишь 10 августа. Сейчас же пользователи могут защищаться путем отключения отображения ярлыков на съемных носителях или за счет отключения сервиса WebClient. Оба метода выполняются через реестр Windows. http://www.cybersecurity.ru/os/98280.html http://virusinfo.info/showthread.php?t=83366 Предлагается пока обход этой уязвимости: 1) отредактировать параметр по умолчанию для HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler Удалить любое значение, которое там задано (параметр должен быть "пустым"). Таким образом для ярлыков Windows не будет показывать картинки + 2) отключить (многим совсем не нужную) службу WebClient service. Отключить службу = поставить её параметр запуска на "отключено" и потом остановить её. Данная уязвимость относится ко всем системам Windows, также x64. Windows XP Service Pack 3 Windows XP Professional x64 Edition Service Pack 2 Windows Server 2003 Service Pack 2 Windows Server 2003 x64 Edition Service Pack 2 Windows Server 2003 with SP2 for Itanium-based Systems Windows Vista Service Pack 1 and Windows Vista Service Pack 2 Windows Vista x64 Edition Service Pack 1 and Windows Vista x64 Edition Service Pack 2 Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2 Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2 Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-based Systems Service Pack 2 Windows 7 for 32-bit Systems Windows 7 for x64-based Systems Windows Server 2008 R2 for x64-based Systems Windows Server 2008 R2 for Itanium-based Systems Цитата Ссылка на сообщение Поделиться на другие сайты
Umnik 1 280 Опубликовано 20 июля, 2010 Share Опубликовано 20 июля, 2010 файлы с расширением .ink ? В сообщении корпорации сказано, что изначально уязвимость была создана для работы c USB-накопителями, но она также может распространяться и через сетевые диски или доступные через WebDAV ресурсы. Трудности перевода? Согласно данным корпорации уязвимость затрагивает Windows XP Service Pack 2. Данная уязвимость относится ко всем системам Windows, также x64.Windows XP Service Pack 3 Windows XP Professional x64 Edition Service Pack 2 Windows Server 2003 Service Pack 2 Windows Server 2003 x64 Edition Service Pack 2 Windows Server 2003 with SP2 for Itanium-based Systems Windows Vista Service Pack 1 and Windows Vista Service Pack 2 Windows Vista x64 Edition Service Pack 1 and Windows Vista x64 Edition Service Pack 2 Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2 Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2 Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-based Systems Service Pack 2 Windows 7 for 32-bit Systems Windows 7 for x64-based Systems Windows Server 2008 R2 for x64-based Systems Windows Server 2008 R2 for Itanium-based Systems Где подвох? Цитата Ссылка на сообщение Поделиться на другие сайты
Omnividente 280 Опубликовано 20 июля, 2010 Share Опубликовано 20 июля, 2010 Umnik наверное lnk имели ввиду) Цитата Ссылка на сообщение Поделиться на другие сайты
Umnik 1 280 Опубликовано 20 июля, 2010 Share Опубликовано 20 июля, 2010 Stopvirus, чувак, где источник? Почему такие ляпы и взаимоисключающие параграфы? Цитата Ссылка на сообщение Поделиться на другие сайты
galik 63 Опубликовано 20 июля, 2010 Share Опубликовано 20 июля, 2010 Stopvirus, чувак, где источник? Вот же источник. http://www.cybersecurity.ru/os/98280.html http://virusinfo.info/showthread.php?t=83366 Цитата Ссылка на сообщение Поделиться на другие сайты
Umnik 1 280 Опубликовано 20 июля, 2010 Share Опубликовано 20 июля, 2010 galik, где об этом написано? Почему ТС не прочитал даже это вот? Что за отношение? Вам нравится быть ботами? Цитата Ссылка на сообщение Поделиться на другие сайты
MASolomko 1 055 Опубликовано 20 июля, 2010 Share Опубликовано 20 июля, 2010 читаем типа об расследовании "Мирт и гуава (Stuxnet)" http://kltest.org.ru/viewtopic.php?f=14&t=698 Цитата Ссылка на сообщение Поделиться на другие сайты
mvs 368 Опубликовано 21 июля, 2010 Share Опубликовано 21 июля, 2010 (изменено) http://www.securitylab.ru/analytics/395926.php отличная статья вот правда без ярлыков пользователи жить не смогут )) Изменено 21 июля, 2010 пользователем mvs Цитата Ссылка на сообщение Поделиться на другие сайты
Umnik 1 280 Опубликовано 21 июля, 2010 Share Опубликовано 21 июля, 2010 В статье не дано правильного метода решения _этой_ проблемы - учетная запись пользователя. Это руткит и он не сможет поставить драйвер без прав Админа. Цитата Ссылка на сообщение Поделиться на другие сайты
Konstantin. 247 Опубликовано 21 июля, 2010 Share Опубликовано 21 июля, 2010 читаем типа об расследовании "Мирт и гуава (Stuxnet)" http://kltest.org.ru/viewtopic.php?f=14&t=698 А лучше было-бы сразу разместить ссылки на Securelist. Часть 1: http://www.securelist.com/ru/blog/34291/Mi..._guava_Epizod_1 Часть 2: http://www.securelist.com/ru/blog/34293/Mi..._guava_Epizod_2 Часть 3: http://www.securelist.com/ru/blog/34302/Mi..._guava_Epizod_3 Цитата Ссылка на сообщение Поделиться на другие сайты
MASolomko 1 055 Опубликовано 21 июля, 2010 Share Опубликовано 21 июля, 2010 (изменено) Konstantin., там ссылочки добавились + обсуждение ведут, вот поэтому дал только ссылку на оригинал Изменено 21 июля, 2010 пользователем MASolomko Цитата Ссылка на сообщение Поделиться на другие сайты
Konstantin. 247 Опубликовано 23 июля, 2010 Share Опубликовано 23 июля, 2010 (изменено) Часть 1: http://www.securelist.com/ru/blog/34291/Mi..._guava_Epizod_1Часть 2: http://www.securelist.com/ru/blog/34293/Mi..._guava_Epizod_2 Часть 3: http://www.securelist.com/ru/blog/34302/Mi..._guava_Epizod_3 Часть 4: http://www.securelist.com/ru/blog/34307/Mi..._guava_Epizod_4 Часть 5: http://www.securelist.com/ru/blog/34310/Mi..._guava_Epizod_5 Изменено 23 июля, 2010 пользователем Konstantin. Цитата Ссылка на сообщение Поделиться на другие сайты
Venus Doom 2 Опубликовано 1 августа, 2010 Share Опубликовано 1 августа, 2010 Обещают выпустить исправление Цитата Ссылка на сообщение Поделиться на другие сайты
Витяй 4 Опубликовано 1 августа, 2010 Share Опубликовано 1 августа, 2010 Обещают выпустить исправление Это только вопрос времени. Хотя заштопать как всегда должны быстро! Цитата Ссылка на сообщение Поделиться на другие сайты
mvs 368 Опубликовано 2 августа, 2010 Share Опубликовано 2 августа, 2010 Сегодня Microsoft выпустит внеплановый патч для Windows02 августа, 2010 Теги: Microsoft, Windows, патч Корпорация Microsoft сегодня выпустит внеплановый патч, устраняющий уязвимость в операционной системе Windows. Патч касается уязвимости, связанной с обработкой Windows файлов-ярлыков с расширением .lnk. В корпорации говорят, что выпускают патч вне обычного расписания ежемесячных патчей ввиду особой опасности данной уязвимости. "За последние несколько дней мы постоянно наблюдаем рост количества случаев использований эксплоита, связанного с обработкой файлов-ярлыков", - говорит Кристофер Бадд, представитель Microsoft Security Responce Center. Как сообщается, патч на серверах обновления появится примерно в 20:00 по московскому времени. Напомним, что червь Win32/Stuxnet, атакующий уязвимость с .lnk, был обнаружен около недели назад. На сегодняшний день, по данным ESET, наибольшее распространение угроза получила в США и Иране, на которые пришлось 58% и 30% инфицированных компьютеров в мире соответственно. Третьей по уровню проникновения страной стала Россия, на долю которой приходится около 4% зараженных ПК. http://www.securitylab.ru/news/396384.php Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.