Продолжаем тему LNK/Stuxnet. После опубликования двух предыдущих постов я получил аж три существенных замечания.
Я не предупредил, что quick-fix от Microsoft имеет один очевидный побочный эффект. Исправление полностью отключает механизм отображения графических иконок в меню Пуск, Контрольной панели, Панели задач и т.д. То есть, вообще отключает. Выглядит это не очень красиво. Вот почему для истинных эстетов компания Sophos выпустила специальную бесплатную утилиту , которая а) ищет и удаляет Stuxnet-подобный вредоносный код с вашего ПК, и б) предотвращает заражение в будущем. Утилита будет также полезна ненавистникам MSSE и всем прочим жертвам стойкой аллергии на удачные продукты компании Microsoft.
Также, я получил несколько любопытных вопросов на тему "а как же быть с серверами", в особенности с файловыми. Разумеется, наряду с флешками и компакт-дисками, файловые сервера также являются потенциальными путями распространения этой заразы. Хорошая новость, начиная с Windows 2003 R2 администратору доступен инструмент File Resource Manager. Воображаю, как админы заулыбались. Да-да, это как раз та тулза, которой вы запрещаете нерадивым пользователям обмениваться через файлохранилища .mp3, .avi и прочими "нерабочими" файлами. Так вот, при помощи FRM можно, аналогично, запретить обмен исполняемыми файлами, такими как .exe, .bat, .com и (та-да!..) .lnk и .pif. К слову, там же можно настроить отсылку почтовых уведомлений о попытках сохранения запрещенных файлов, скажем, на группу администраторов.
Плохая новость, Windows 2000 и Windows 2003 таким образом защитить не получится. Еще один аргумент для скорейшей миграции на более современную операционную систему. А пока можно воспользоваться костылем в виде Software Restriction Policy , как это подробно описано в блоге Дидье Стивенса. Дидье предлагает также воспользоваться утилитой Ariad для предотвращения заражения через CD-ROM и флэшки, но это уже, как говорится, на любителя.
Как проверить эффективность мер предосторожности. Если вы счастливец, которого миновала судьба двоих моих знакомых, успевших подхватить червей, паразитирующих на LNK-уязвимости, то образцов вредоносного кода в вашем распоряжении скорее всего пока нет. Я не знаю как у Core и Imunity (подозреваю, что тоже все в порядке), а у Metasploit модуль для имитации LNK-малвари уже имеется. Для поиска выполните search lnk в msfconsole.
Пользуясь случаем, хочу передать привет господам Дидье Стивенсу и Карлосу Пересу , и поблагодарить их за предоставленную возможность предохраниться от этой злой хвори. Вот, вроде, и все. Будьте осторожны!
Как защититься от LNK-алипсиса
