Programy, które zablokują ataki na skróty w Windows

Pojawiły się dwa bezpłatne narzędzia - dwóch różnych producentów - służące do ochrony przed "luką .LNK" w systemach Windows. Aplikacje wydały niezależnie od siebie firmy Sophos i G Data.

Obie aplikacje to podjęta przez producentów antywirusów próba zapewnienia użytkownikom systemów Windows (XP, Server 2003, Vista, Server 2008, 7, Server R2) ochrony przed groźnym błędem wykrytym w tych OS-ach.

Błąd polega na tym, że w momencie gdy ikona spreparowanego skrótu (plik .LNK) zostaje wyświetlona w Eksploratorze Windows bądź dowolnym menedżerze plików obsługującym ikony, automatycznie - i bez interakcji użytkownika - uruchamia się niebezpieczny kod.

O zainfekowanie komputera najłatwiej, gdy użytkownik przegląda pliki na pamięci USB.

Pomoc z zewnątrz

Zarówno G Data LNK-Checker, jak i Sophos Windows Shortcut Exploit Protection Tool działają niezależnie od zainstalowanego w systemie oprogramowania antywirusowego.

Ich zadaniem jest monitorowanie zachowania się skrótów do programów i blokowanie prób uruchomienia złośliwego kodu.

Oficjalnej łaty, wydanej przez Microsoft, a usuwającej opisywany błąd, póki co nie ma. Koncern opublikował co prawda wskazówki jak obronić się przed rootkitem atakującym skróty w Windows, jednak zaproponowany sposób nie spodobał się ani użytkownikom, ani specjalistom ds. bezpieczeństwa.

Microsoft radził bowiem, by dokonać modyfikacji rejestru systemowego, czego skutkiem było wyłączenie graficznej reprezentacji ikon skrótów. Czytelnik pcworld.pl o nicku wladek skomentował to tak: "Bardzo raduje mnie "pasek szybkiego uruchamiania" i pulpit bez ikonek. To mi strasznie pomaga w pracy. A gdyby tak dodać jeszcze pełną TRANSPARENTNOŚĆ ikonek? Wtedy byłoby zupełnie ciekawie."

Obie aplikacje mają zaś nad poradnikiem Microsoftu tę przewagę, że nie wyłączają wyświetlania ikon skrótów.

"Błąd .LNK" jest naprawdę groźny

Graham Cluley, konsultant ds. technologii w Sophos ocenił: "Jak dotąd widzieliśmy robaki Stuxnet i Dulkis, a także trojana Chymin usprawniającego rozprzestrzenianie i infekowanie komputerów. Stuxnet trafił na nagłówki, ponieważ jest wycelowany w systemy Siemens SCADA, które sterują krytyczną infrastrukturą krajową, taką jak elektrownie. Należy jednak pamiętać, że zagrożeni rootkitem są wszyscy użytkownicy."

Szczegóły o tym, jak wykorzystać tę lukę bezpieczeństwa są dostępne w sieci, a to oznacza, że hakerzy bez najmniejszych trudności mogą ją wykorzystać do kolejnych ataków - ostrzega przedstawiciel firmy Sophos.

"Błąd daje cyber-przestępcom szeroki wachlarz możliwości infekowania komputera. Wystarczy upewnić się, że plik .LNK zostanie na nim wyświetlony (...). Nawet podstawowe oprogramowanie, takie jak edytory tekstu czy klienty poczty e-mail, zapewniają możliwość wyświetlania skrótów. Potencjał do nadużyć jest więc ogromny. Spodziewamy się, że w krótkim czasie ta luka zacznie być wykorzystywana na masową skalę" - dodaje Ralf Benzmueller, dyrektor G Data SecurityLabs.


Zobacz również