Антивирусы Outpost обновлены для защиты Windows от эксплойта .LNK

27 Июля 2010
В новых версиях лицензионных программ компании Agnitum обновлены механизмы проактивной защиты с целью противостояния активно распространяющемуся эксплойту "LNK", эксплуатирующему уязвимость в работе ярлыков (используется червём Stuxnet)

В новых версиях продукции компании Agnitum обновлены механизмы проактивной защиты с целью противостояния активно распространяющемуся эксплойту "LNK", эксплуатирующему уязвимость в работе ярлыков (используется червём Stuxnet). По данным аналитиков, вредоносный код начал распространятся в середине июля из Азии, а затем перекинулся на территорию США и Восточной Европы, набирая обороты и в России.

Ситуацию усугубляет тот факт, что атака червя Stuxnet многокомпонентна. В частности, он подписывает свой драйвер краденым сертификатом от Realtek (сертификат уже отозван), а так же пытается получить доступ к системам управления промышленным производством, функционирующим на программном обеспечении WinCC от компании Siemens (некоторые варианты работают на электростанциях) используя краденную версию dll-файла последней. Распространяется червь через компьютеры, где разрешён автозапуск с USB-носителей, а так же через общедоступные сетевые папки и WebDAV. Заражению подвержены все широко распространенные ОС - от Windows XP SP3, Windows Vista SP2, Windows 7 до Windows Server 2003 SP2, Windows Server 2008 R2.

Для предотвращения заражения компьютера, специалистами Agnitum были разработаны обновления для механизмов защиты, встроенных в продукты компании. Результаты данных действий представлены в Outpost Security Suite Pro (98Мб) и Outpost Antivirus Pro (95Мб) версий 7.0.2 (внутренние версии файлов 3377.514.1238.401). Защитный алгоритм проверки целостности и достоверности файлов *.lnk является достаточным для предотвращения заражения, поскольку проверяет lnk-объекты по 20 дополнительным параметрам, плюс работа проактивной защиты дополнена базой сигнатур антивируса для червя Stuxnet, который использует данную уязвимость.

Microsoft, со своей стороны, уже выпустила бесплатно распространяемое исправление Fix IT 50486, которое до выхода полнофункционального исправления уязвимости позволяет отключить использование той части механизма в работе ярлыков, которой воспользовались злоумышленники (об этом можно прочитать в базе знаний Microsoft за номером KB2286198) и сервиса WebClient.

Источники: www.agnitum.ru, support.microsoft.com

Короткая ссылка на новость: http://un-ltd.ru/~CPKMy