Jak obronić się przed rootkitem atakującym skróty w Windows

Przedstawiamy wskazówki, jak zabezpieczyć się przed złośliwym oprogramowaniem wykorzystującym błąd w obsłudze plików skrótu (pliki z rozszerzeniem LNK) w Windows.

Przypomnijmy - w systemach Windows (XP, Server 2003, Vista, Server 2008, 7, Server R2) wykryty został niedawno błąd polegający na niepoprawnej obsłudze skrótów. W momencie gdy ikona spreparowanego skrótu zostaje wyświetlona w Eksploratorze Windows bądź dowolnym menedżerze plików obsługującym ikony, automatycznie uruchamia się niebezpieczny kod.

Istnienie zagrożenia potwierdziło kilka firm antywirusowych, w tym Sophos (której pracownicy zidentyfikowali wykorzystujący opisaną lukę rootkit W32/Stuxnet-B), AVG i TrendMicro.

Zobacz również:

  • Patch Tuesday: łatki dla Windows 10, 8.1 oraz 7

"Zamiast umieszczać na dyskach stałych i wymiennych plik AUTORUN.INF i swoją kopię, wirus używany w tym ataku umieszcza na nich plik LNK, który jest skrótem wskazującym na plik wykonywalny" - informuje TrendMicro. Tak umieszczony plik LNK korzysta z opisywanej luki, aby umieścić nową kopię wirusa (WORM_STUXNET.A) w innych systemach. Wirus instaluje też rootkit, który służy mu do ukrycia jego procesów.

O zainfekowanie komputera najłatwiej, gdy użytkownik przegląda pliki na pamięci USB, nawet wtedy, gdy w systemie wyłączona jest funkcja autoodtwarzania.

Microsoft na stronach wsparcia technicznego zaproponował tymczasowe rozwiązania problemu - tymczasowe, gdyż jego pełną eliminację powinien zapewnić wydany przez koncern patch.

Najprostszy ze sposobów to wejście na tę stronę i kliknięcie przycisku Fix it widocznego pod nagłówkiem Enable workaround.

Drugi ze sposobów to ręczne wyłączenie wyświetlania ikon skrótów w Windows. Dotyczy zarówno plików skrótów z rozszerzeniem LNK jak i PIF i wymaga ono od użytkownika edycji Rejestru systemowego:

1. Kliknij Start | Uruchom i w polu Otwórz wpisz regedit. Kliknij OK

2. Odszukaj w Rejestrze i zaznacz klucz:

HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler

3. Otwórz menu Plik i wybierz Eksportuj

4. W oknie dialogowym eksportu wpisz LNK_Icon_Backup.reg i kliknij Zapisz.

Właśnie stworzyłeś kopię zapasową klucza w folderze Moje Dokumenty (możesz też wskazać inną lokację).

5. W prawym panelu okna edytora Rejestru zaznacz wartość klucza (Domyślna). Wciśnij klawisz Enter aby otworzyć okno edycji klucza i usuń ciąg znaków widoczny w polu Dane wartości. Ponownie wciśnij Enter.

Tę samą procedurę należy zastosować wobec plików skrótów z rozszerzeniem PIF, tyle że klucz w Rejestrze, jaki musimy odszukać, zbackupować (do pliku PIF_Icon_Backup.reg) i zmodyfikować to: HKEY_CLASSES_ROOT\piffile\shellex\IconHandler.

Konsekwencją tych działań będzie wyłączenie graficznej reprezentacji ikon skrótów. Zmiany wejdą w życie po ponownym uruchomieniu systemu.