Компания Microsoft выпустила небольшую утилиту, призванную защитить пользователей от недавно обнаруженной, но еще не исправленной уязвимости, с помощью которой злоумышленники могут заразить компьютеры пользователей различными троянскими программами и другим вредоносным ПО. К сожалению, предлагаемый способ борьбы серьезно снижает удобство работы с операционными системами Windows. Кроме того, в мире уже отмечены тысячи случаев заражения червем Stuxnet, который использует для распространения именно эту уязвимость.

История с уязвимостью в механизме обработки ярлыков операционной системы Windows получила самое серьезное продолжение. Белорусская компания VirusBlokAda первой нашла уязвимость, но всеобщее внимание к проблеме было привлечено только после публикаций в блоге Брайана Кребса (Brian Krebs) на прошлой неделе. Компания Microsoft предложила в качестве первой помощи отключить расширенную поддержку ярлыков вообще – после таких мер все ярлыки на рабочем столе становятся одинаково белыми, а пользователь не сможет отличить, какой ярлык относится к документу редактора Word, а какой – к таблице Excel. Что еще печальнее, уязвимость касается всех версий Windows – от Windows 2000 до Windows 7 SP1 и Windows 2008 Server R2. Кроме того, при подключении зараженных сменных накопителей пользователю вообще ничего не нужно делать, чтобы пропустить вирус на свою машину – среда Windows по умолчанию обрабатывает ярлыки на таких накопителях автоматически.

Дополнительно компания официально рекомендовала блокировать загрузку любых файлов с расширениями «.lnk» и «.pif», если эти файлы находятся вне сетевого периметра. Все необходимые операции выполняет специальная утилита «Fix It», опубликованная на официальном сайте, однако, как уже упоминалось, применять ее следует с большой осторожностью.

Пока компания Microsoft пытается разработать «заплатку» для уязвимости в ярлыках (очередной регламентный выпуск обновлений к системе безопасности намечен на 10 августа), многие корпоративные пользователи из разных стран мира сталкиваются с червем Stuxnet, который использует для заражения именно эту уязвимость. Как заявил Сергей Уласень из компании VirusBlokAda, первый случай заражения произошел в некой организации из Ирана. Сейчас попытки заражения отмечаются в США, Индии, Иране и Индонезии, причем основной целью вируса являются SCADA-системы, используемые для диспетчерского управления энергетической инфраструктурой.

Немецкая компания Siemens AG сообщила, что, по крайней мере, один из ее заказчиков стал жертвой атаки Stuxnet. После заражения вирус проверяет, установлена ли на машине программа Siemens Simatic WinCC. Затем вирус использует стандартный пароль, который жестко зафиксирован в программе для доступа к базе данных Microsoft SQL Server, где хранятся все данные контроля. Этот пароль уже много лет известен специалистам, как сообщил сайт Wired. По словам специалистов из компании Symantec, вирус похищает схемы промышленной автоматики и контрольные файлы, описывающие специфические свойства систем. При обнаружении необходимых файлов вирус кодирует их и пытается передать на удаленный сервер. Кроме того, вирус ожидает ответа от сервера, так что вполне возможно, что сервер может передать вирусу дополнительные команды. Вся ситуация выглядит так, как будто вирус Stuxnet специально разработан для сбора данных об энергетической инфраструктуре в масштабах целых государств.