Avastati uus ja ohtlik Windowsi turvaauk

Nagu paljud teist juba lugenud, on kõikides Windowsi operatsionnisüsteemide versioonides kõrge riskiga turvaauk, mille kaudu on võimalik arvutit kergesti nakatada. Natuke informatsiooni on saadaval Elu24 lehel. eKaitse otsustas teemakohase artikli teha alles siis, kui on saadaval rohkem informatsiooni ning probleemile on ka lahendus (parandus) olemas. Mis asi LNK exploit on, kuidas see töötab ning kuidas ennast kaitsta? Saad teada, kui loed edasi...

 

Ohust

Haavatus (Vulnerability) asub Windowsi Kesta (Shell) komponendis shell32.dll

See fail on vastutav kiirteede (Shortcutide) ikoonide liigendamisega seonduvate toimingutega (.LNK failid)

Kindlat tüüpi kiirteed täpsustavad, et nende ikoon asub eraldi failil ning shell32.dll kasutab LoadLibraryW funktsiooni kernel32.dll'i sees, laadimaks seda eraldi asuvat faili. Edasi käivitab LoadLibraryW selle eraldi oleva faili "käivitamise" õigustega, mis omakorda võib tähendada seda, et koos temaga käivitatakse pahatahtlik fail.

Praegu kasutavad seda nakatamise meetodit ära paljud viirused, eesotsas kurikuulsad Zeus, Stuxnet, Sality jne.

Nakatumiseks piisab pelgalt ikooni vaatamisest. Seega ei pea kasutaja muud tegema, kui faili ikooni nägema.

Arvuti kaitsmiseks tuleb takistada LoadLibraryW kasutamist, kui shell32.dll loeb ikoonifaili.

 

Kaitse

Hitman Pro kaitse (nimega LNK Exploit Protection Shell Extension) püüab kinni LoadLibraryW funktsiooni, kui shell32.dll laeb ikoonifaili. Seega ei saa shell32.dll käivitada ikoonifaili õigustega "käivita", ning pahavara ei ole võimalik arvutisse paigaldada.

 

Oma arvuti kaitsmiseks lae Hitman Pro alla siit: http://www.surfright.nl/en/downloads/

(Vastavalt kas 32bit või 64bit Windowsile)

Pärast programmi avamist, näed sellist akent:

 

 

Vali Enable LNK protection.

explorer.exe teeb restardi (korraks kaovad ära tegumiriba ning töölaua ikoonid)

 

PS: Kui oled kasutanud mõnda muud LNK kaitse tarkvara, ei pruugi sa taolist hoiatust saada (nagu ülevaloleval pildil). Sellisel juhul oled arvatavasti juba kaitstud.

Jäta oma kommentaarid

Lisa kommentaar külalisena

0
kasutustingimustega.

Vestluses olevad inimesed

  • Külaline - vool

    Puudulik informatsioon, kuna ründevõimelisi LINK-viiruseid on antud hetkel 5 ning need kõik on antud ajahetkeks kirjeldatud viirusetõrjete andmebaasides.<br /><br />Nii, et pole mõetet mitu nädalat vana uudist niisama paanilselt paljundada. Eriti kui allikaks pole mingi autoriteetne Viirusetõrje-allikas, vaid on mingi kohalikus meedias toodud mõttetu meediapaanika. :-) <br />----------------------------<br />Ja kui netti uskuda, siis avastati konkreetne LINK-viiruste probleem juba 17th of June, 2010. Seega poolteist kuud tagasi :-) <br />----------------------------<br />Loodetavasti saab edaspidi lugeda uutest probleemuudistest, mitte kiviaegsetest... <br />Edu!

    0 Meeldib Lühike URL:
  • Külaline - maatriks_

    Puudulik informatsioon, kuna ründevõimelisi LINK-viiruseid on antud hetkel 5 ning need kõik on antud ajahetkeks kirjeldatud viirusetõrjete andmebaasides.<br /><br />Nii, et pole mõetet mitu nädalat vana uudist niisama paanilselt paljundada. Eriti kui allikaks pole mingi autoriteetne Viirusetõrje-allikas, vaid on mingi kohalikus meedias toodud mõttetu meediapaanika. :-) <br />----------------------------<br />Ja kui netti uskuda, siis avastati konkreetne LINK-viiruste probleem juba 17th of June, 2010. Seega poolteist kuud tagasi :-) <br />----------------------------<br />Loodetavasti saab edaspidi lugeda uutest probleemuudistest, mitte kiviaegsetest... <br />Edu!
    <br />Fix antud probleemile on üsnagi värske.

    1 Meeldib Lühike URL:
  • Puudulik informatsioon, kuna ründevõimelisi LINK-viiruseid on antud hetkel 5 ning need kõik on antud ajahetkeks kirjeldatud viirusetõrjete andmebaasides.<br /><br />Nii, et pole mõetet mitu nädalat vana uudist niisama paanilselt paljundada. Eriti kui allikaks pole mingi autoriteetne Viirusetõrje-allikas, vaid on mingi kohalikus meedias toodud mõttetu meediapaanika. :-) <br />----------------------------<br />Ja kui netti uskuda, siis avastati konkreetne LINK-viiruste probleem juba 17th of June, 2010. Seega poolteist kuud tagasi :-) <br />----------------------------<br />Loodetavasti saab edaspidi lugeda uutest probleemuudistest, mitte kiviaegsetest... <br />Edu!
    <br /><br />Kui sa pead silmas Zeusi, Stuxneti jt, siis osa variante on tõesti paljude viirustõrjete andmebaasides olemas. Samas, Zeus jt arenevad iga päevaga ning uusi variante tuleb pidevalt välja. Seega ei tasu ainult viirustõrjele lootma jääda, vaid peaks paigaldama nn passiivse kaitse antud ohu vastu.

    1 Meeldib Lühike URL:
  • Windows Update on nüüdseks välja jaganud fixi, mis ei eemalda ikoone.

    0 Meeldib Lühike URL: