Avira protejeaza impotriva vulnerabilitatii Windows Shell

Avira detecteaza generic virusii windows shellVa anuntam acum cateva zile despre recent descoperita vulnerabilitate din Windows Shell.

Pentru a va reaminti pe scurt, vulnerabilitatea este cauzata de o eroare in procesarea shortcut-urilor (.lnk)
Problema poate fi exploatata automat prin executarea unui program printr-o scurtatura special creata. Anumiti parametri ai .lnk nu sunt validati corespunzator la incarcare, rezultand aceasta vulnerabilitate.


Pentru ca exploit-ul sa aiba succes necesita inserarea unui dispozitiv amovibil: stick USB, etc (cand AutoPlay este activat) sau browsing-ul prin Windows Explorer a continutului dispozitivului respectiv. (cand AutoPlay este dezactivat).

AVIRA a reactionat prompt si detecteaza deja primul troian care se raspandeste, folosindu-se de aceasta gaura de securitate. Denumirea sa este: RKit/Stuxnet.A


De asemenea, producatorul german a adaugat semnatura generica EXP/CVE-2010-2568, care va detecta pe viitor orice alt virus care se va folosi de aceasta “buba” din Windows.
Cu alte cuvinte, un virus nou de acest tip nu va necesita o semnatura noua, ci va fi detectat din prima clipa.

Utilizatorii AVIRA sunt invitati sa faca update la ultimeul engine: 10 8.2.4.26, din data de 21 iulie a.c. pentru a fi protejati.

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

31 responses to “Avira protejeaza impotriva vulnerabilitatii Windows Shell”

  1. Devirusare

    Ops 😛

    Se pare ca Avita a venit cu vestea dupa 2 zile 😀

    Scan report of: ~wtr4132.tm$
    AntiVir TR/Stuxnet.l
    Authentium W32/Trojan3.BQE
    Avast Win32:Malware-gen
    AVG Dropper.Generic2.YQQ (Trojan horse)
    BitDefender Trojan.Generic.4471566
    ClamAV –
    Dr.Web Trojan.Siggen.64469
    Eset Nod32 –
    Fortinet –
    Fortinet (BETA) W32/Stuxnet.A!tr
    F-Prot W32/Trojan3.BQE
    F-Secure Trojan.Generic.4471566
    G Data Trojan.Generic.4471566
    Ikarus Trojan-Dropper.Win32.Stuxnet
    ISS VPS –
    K7 Computing –
    Kaspersky Trojan-Dropper.Win32.Stuxnet.a
    Kaspersky (Cons.) Trojan-Dropper.Win32.Stuxnet.a
    Kaspersky (Online) Trojan-Dropper.Win32.Stuxnet.a
    McAfee –
    McAfee (BETA) –
    McAfee (Online) Artemis!97FD438F25A4 (trojan)
    McAfee GW Edition Artemis!97FD438F25A4
    Microsoft TrojanDropper:Win32/Stuxnet.A
    Norman –
    Panda –
    Panda (Online) Generic Trojan
    PC Tools Malware.Temphid
    QuickHeal –
    Rising –
    Sophos Sus/UnkPack-C (suspicious)
    Spybot S&D –
    Sunbelt –
    Symantec W32.Temphid
    Symantec (BETA) W32.Temphid
    Symantec (Online) W32.Temphid
    Trend Micro WORM_STUXNET.A
    Trend Micro (Cons.) WORM_STUXNET.A
    Trend Micro (CPR) WORM_STUXNET.A
    VBA32 Trojan-Spy.0485
    VirusBuster Trojan.DR.Stuxnet.D (trojan)
    Webroot Sus/UnkPack-C

    Scan report of: ~wtr4141.tm$
    AntiVir TR/Stuxnet.m
    Authentium W32/Trojan3.BQF
    Avast Win32:Malware-gen
    AVG Dropper.Generic2.AACN (Trojan horse)
    BitDefender Trojan.Generic.4184925
    ClamAV –
    Dr.Web Trojan.Siggen.64469
    Eset Nod32 –
    Fortinet –
    Fortinet (BETA) W32/Stuxnet.B!tr
    F-Prot W32/Trojan3.BQF
    F-Secure Trojan.Generic.4184925
    G Data Trojan.Generic.4184925
    Ikarus Trojan-Dropper.Win32.Stuxnet
    ISS VPS –
    K7 Computing Trojan (0017fe291)
    Kaspersky Trojan-Dropper.Win32.Stuxnet.b
    Kaspersky (Cons.) Trojan-Dropper.Win32.Stuxnet.b
    Kaspersky (Online) Trojan-Dropper.Win32.Stuxnet.b
    McAfee –
    McAfee (BETA) –
    McAfee (Online) Artemis!4589EF6876E9 (trojan)
    McAfee GW Edition Artemis!4589EF6876E9
    Microsoft Trojan:Win32/Stuxnet.B
    Norman W32/Smalltroj.ZGEP (trojan)
    Panda Generic Trojan
    Panda (Online) Generic Trojan
    PC Tools Trojan.Generic
    QuickHeal –
    Rising Trojan.Win32.Generic.520905F2
    Sophos –
    Spybot S&D –
    Sunbelt Trojan.Win32.Generic!BT
    Symantec Trojan Horse
    Symantec (BETA) Trojan Horse
    Symantec (Online) Trojan Horse
    Trend Micro WORM_STUXNET.A
    Trend Micro (Cons.) WORM_STUXNET.A
    Trend Micro (CPR) WORM_STUXNET.A
    VBA32 Malware-Cryptor.Win32.Inject.gen.2
    VirusBuster Trojan.DR.Stuxnet.B (trojan)
    Webroot –

    Scan report of: mrxcls.sys
    AntiVir RKIT/Stuxnet.A.1
    Authentium –
    Avast –
    AVG Rootkit-Pakes.AG (Trojan horse)
    BitDefender Rootkit.Stuxnet.A
    ClamAV –
    Dr.Web Trojan.Siggen.64469
    Eset Nod32 –
    Fortinet –
    Fortinet (BETA) –
    F-Prot –
    F-Secure –
    G Data Rootkit.Stuxnet.A
    Ikarus –
    ISS VPS –
    K7 Computing –
    Kaspersky Rootkit.Win32.Stuxnet.a
    Kaspersky (Cons.) Rootkit.Win32.Stuxnet.a
    Kaspersky (Online) Rootkit.Win32.Stuxnet.a
    McAfee –
    McAfee (BETA) Generic Rootkit.d (trojan)
    McAfee (Online) –
    McAfee GW Edition –
    Microsoft Trojan:WinNT/Stuxnet.A
    Norman W32/Stuxnet.D (trojan)
    Panda –
    Panda (Online) –
    PC Tools Malware.Temphid
    QuickHeal Rootkit.Stuxnet.a
    Rising Trojan.Win32.Generic.5219E5E4
    Sophos –
    Spybot S&D –
    Sunbelt –
    Symantec W32.Temphid
    Symantec (BETA) W32.Temphid
    Symantec (Online) W32.Temphid
    Trend Micro RTKT_STUXNET.A
    Trend Micro (Cons.) RTKT_STUXNET.A
    Trend Micro (CPR) RTKT_STUXNET.A
    VBA32 Rookit.TmpHider.2
    VirusBuster –
    Webroot –

    Scan report of: mrxnet.sys
    AntiVir RKIT/Stuxnet.A
    Authentium –
    Avast –
    AVG Rootkit-Pakes.AF (Trojan horse)
    BitDefender Rootkit.Stuxnet.A
    ClamAV –
    Dr.Web Trojan.Siggen.64469
    Eset Nod32 Win32/Rootkit.Agent.NTK trojan
    Fortinet –
    Fortinet (BETA) –
    F-Prot –
    F-Secure –
    G Data Rootkit.Stuxnet.A
    Ikarus –
    ISS VPS –
    K7 Computing –
    Kaspersky Rootkit.Win32.Stuxnet.b
    Kaspersky (Cons.) Rootkit.Win32.Stuxnet.b
    Kaspersky (Online) Rootkit.Win32.Stuxnet.b
    McAfee –
    McAfee (BETA) Generic Rootkit.d (trojan)
    McAfee (Online) Artemis!CC1DB5360109 (trojan)
    McAfee GW Edition Artemis!CC1DB5360109
    Microsoft Trojan:WinNT/Stuxnet.B
    Norman W32/Stuxnet.E (trojan)
    Panda –
    Panda (Online) –
    PC Tools Malware.Temphid
    QuickHeal –
    Rising –
    Sophos –
    Spybot S&D –
    Sunbelt –
    Symantec W32.Temphid
    Symantec (BETA) W32.Temphid
    Symantec (Online) W32.Temphid
    Trend Micro RTKT_STUXNET.A
    Trend Micro (Cons.) RTKT_STUXNET.A
    Trend Micro (CPR) RTKT_STUXNET.A
    VBA32 Rootkit.TmpHider
    VirusBuster –
    Webroot –

  2. daniel

    Deci eu daca primesc un stick cu acest virus Avira il v-a detecta fara nici o problema nu?

  3. Devirusare

    Uite cine l-a descoperit.

    http://anti-virus.by/en/tempo.shtml

  4. Cojocaru Silviu
  5. Devirusare

    Nu e ridicol. Nu au ce sa faca pana luna viitoare cand e Patch Tuesday.

    Si asa au gasit solutia radicala…

  6. Cojocaru Silviu

    Nu au facut decat sa implementeze ei direct ceea ce sfatuiau ei pe altii sa faca cand au publicat articolul despre aceasta problema. Este ridicol pentru ca, pentru utilizator, icon-ul este reperul sau vizual despre aplicatiile pe care le foloseste. Daca i le iei, ori le cauta in meniul Start ori se chiombeste pe desktop. Ai vazut cum pot arata unele desktopuri in mediul business? Pot fi considerate veritabile mozaicuri din icon-uri

  7. laxinuver

    Mulţumesc Radu! şi bravo Avira! 🙂

  8. HAPPYDAY

    AVIRA the best !!!

  9. happyday

    hmmm…vaz ca am si clone mai nou… si inca de-alea avirace…hmmm

  10. pablo

    Pe langa Avira..l-a detectat si Avastul

  11. stefan

    MSE detecteaza? Mai ales daca am facut upgradeul la versiunea 2.0 beta.

  12. Nick

    Uite că şi Esetu’ îl vede… 😀
    http://blog.eset.com/2010/07/22/new-malicious-lnks-here-we-go

  13. Cris

    Sincer să fiu, nu văd un motiv pentru care Avira ar trebui lăudat pentru că a adăugat o detecție pentru un malware oarecare. Mai ales că nu e nici primul, nici singurul care detectează drăcovenia asta. Chiar pe pagina Avira (linkul postat în articol), e publicată lista:
    Aliases:
    • Symantec: W32.Temphid
    • Kaspersky: Rootkit.Win32.Stuxnet.a
    • TrendMicro: RTKT_STUXNET.A
    • F-Secure: Rootkit.Stuxnet.A
    • Sophos: W32/Stuxnet-B
    • Bitdefender: Rootkit.Stuxnet.A
    • Avast: Win32:Stuxnet-B
    • Microsoft: Trojan:WinNT/Stuxnet.A
    • AVG: Rootkit-Pakes.AG
    • PCTools: Rootkit.Stuxnet
    • Eset: Win32/Stuxnet.A
    • GData: Rootkit.Stuxnet.A
    • AhnLab: Backdoor/Win32.Stuxnet
    • DrWeb: Trojan.Stuxnet.1
    • Fortinet: W32/Stuxnet.A!tr.rkit
    • Ikarus: Rootkit.Win32.Stuxnet
    • Norman: W32/Stuxnet.D

    Ceea ce înseamnă că la data publicării, aceste produse deja îl detectau. Deci…mare fâsss că Avia are detecție.

    Nu spun că e rău. Foarte bine că au detecție. Însă nu văd marea șmecherie de trebuie ridicat în slăvi pentru treaba asta. 🙂

    Ca fapt divers, în momentul în care Radu a publicat articolul original (cel cu Comodo, parcă, care detalia problema cu Stuxnet), am întrebat și eu pe cine mai cunoșteam pe la BD Labs. Răspunsul primit a fost: ”Da, am căutat ceva detalii despre asta. Ce avem noi prins de Comodo cu detecția respectivă, deja prindem și noi”. So… big deal. 🙂

    (asta fiind un fel de replică precum cea dată de Avira, când a fost marea zarvă cu Rustock.C, când nu mai știu pe unde, am citit un răspuns al unui reprezentant Avira gen ”mare șmecherie. Mi-a luat 5 minute să modific detecția generică de rootkit-uri, și apoi mi-am văzut de treabă”. 😉 )

    Nu de alta, dar se face prea multă gălăgie pe seama unei vulnerabilități care din câte înțeleg, deja a fost rezolvată de Microsoft, iar soluția va fi distribuită prin auto-update. Cine are sistem end-of-life/piratat/neactualizat, problema lor.

  14. ducu

    @Cris
    “Deci… nimic special. Oamenii doar și-au făcut treaba. :)”
    Ceea ce e foarte special e faptul ca de aproape 2 ani
    suita avira 9 acum 10 este GRATUITA !!! Comenteaza te rog…
    promotia continua )

    1. Cris

      E simplu, foarte simplu chiar. Nu “suita” e free, ci un produs limitat (AntiVir Personal). Și mai există promoții la AntiVir Premium sau Avira Premium Security Suite. Toate ”oferte” sunt pentru home-use, nu pentru segmentul business, care este segmentul din care vine adevăratul profit al unei companii de securitate. (apropo, produsul se numește AntiVir, nu Avira… pentru cine nu știa 😛 )

      Oamenii ăia lucrează pentru domeniul business, unde produsul e plătit, și pentru un relativ mic segment de useri home-use care sunt dispuși să plătească pentru AntiVir Premium sau Avira Security Suite. Evident, cei care folosesc varianta gratuită, au la dispoziție același motor, pentru că doar nu o să investească Avira resurse pentru a face un alt motor, pentru versiunea gratuită. Însă varianta gratuită are limitări (care includ, sper să nu greșesc: update la zi (nu la oră), update mai lent (servere separate, mai slabe), bannere cu reclame, module lipsă sau limitate, etc… ). Pentru domeniul business, AntiVir Personal nu există. 😉

      Dacă cineva încă este sigur (sau are dubii) că omuleții de la Avira lucrează pentru binele comunității, sau că îi interesează extraordinar de mult de cei ce folosesc versiunea free… pot să le spun să stea calmi și liniștiți, că se înșală. Dacă segmentul business s-ar duce de râpă (ipotetic vorbind), Avira ori renunță la AntiVir Free, ori dă faliment. Nu suportă nimeni costuri pentru produse de securitate gratuite.
      Și același lucru se aplică și pentru alte companii care oferă produse gratuite (precum Avast).

      P.S.: Să n-aud pe nimeni cu ”de banner poți scăpa folosind X”. Chestia aia se cheamă cracking. E o metodă care, fără acceptul producătorului, schimbă funcționalitatea produsului, funcționalitate care a fost gândită și proiectată de producător. Iar acest lucru este interzis prin ”contractul de utilizare” (EULA). Orice modificare abuzivă adusă unui produs este ilegală. 😉

  15. ducu

    Prietene eu ma refeream strict la Avira Premium Security Suite
    nu la AntiVir Free, produs identic cu cel platitit cu 39,95 €,cu update
    la 10 min daca vrei,pe care-l folosesc de 2 ani(la 92 zile ceri alta licenta
    eu folosesc 10 min mail pt a avea o adresa mail noua.)Cat priveste segmentul business
    e problema lor,eu vorbesc din punctul de vedere al home-userilor romani mai ales,multi
    si saraci…

    1. Cris

      Săracii useri români… vezi că mai e un post pe-aici legat de subiectul ăsta.

      Ca să revin la subiect: despre ce promoție vorbești tu exact? Ca să nu vorbesc aiurea. (nu, nu urmăresc promoțiile Avira, și nici ale altor producători, pentru că nu mă interesează)

  16. ducu

    https://license.avira.com/en/promotion-hylm9fbv7chaxs8zbl83
    Aici e,nume,prenume,tara, e-mail valid si gata.Promotia e ff veche dar valida
    e si pe situl nostru la promotii suite,recomandata de Mr RADU !!!

    1. Cris

      Prietene, hai să te lămuresc oleacă, că văd că trăiești într-o fantezie. 🙂

      Pe scurt, ce faci tu cu promoția aceea se cheamă piraterie ordinară. 😉

      Pe lung:
      Acea promoție se bazează pe bun simț. O persoană, o adresă de mail, o licență promoțională de 3 luni. Atât, și absolut nimic mai mult.
      Mai exact, orice promoție se supune anumitor reguli (care, într-un mod tâmpit, nu sunt expuse clar pe siteul Avira). Majoritatea acestor promoții nici nu ar trebui să fie publice, ci sunt destinate anumitor clienți (în anumite circumstanțe). Spre exemplu, promoția respectivă este clar destinată clienților Ubisoft (poate n-ai observat textul: ”This promotion is exclusively for Ubisoft!”). Oricine nu este client Ubisoft nici nu ar trebui să știe de existența acelei promoții. La fel, sunt promoții destinate clienților din anumite zone (cele care nu pot fi accesate decât cu proxy: încă o variantă ilegală).

      Cu alte cuvinte: așa cum o versiune trial a unui soft nu este fizic restricționată dpdv al instalărilor multiple (odată reinstalat sistemul de operare, poți folosi din nou acel kit trial), legal vorbind acest lucru nu se poate. Un kit trial se folosește O SINGURĂ DATĂ pe un anumit sistem, indiferent de modificările aduse sistemului (precum reinstalarea). La fel și cu promoțiile: iei o licență promoțională ȘI ATÂT! Dacă vrei mai departe, scoți banu’. Orice altă metodă de a folosi în mod repetat o versiune trial sau o promoție reprezintă utilizare ilegală.

      Deci, recapitulând: nu te mai amăgi singur! Tu nu folosești un produs gratuit, ci folosești ILEGAL un produs comercial. În situația de față, ai scăpa mai ușor dacă ai folosi un generator de chei oarecare, că tot aceeași brânză e.

      Concluzia finală: Avira Premium Security Suite nu este și nu a fost NICIODATĂ un produs gratuit, oricât îți place ție să te amăgești singur și să crezi că Avira îți face cadou o suită completă și funcțională pe termen nelimitat (sau până își aduc ei aminte să taie promoția).

      Vrei o analogie? Uite: Windows 7 poate fi utilizat 30 de zile fără activare și fără cheie de licențiere. Dacă eu am timp odată pe lună să reinstalez sistemul, revenind astfel la cele 30 de zile ”gratuite”, asta înseamnă că Windows 7 este un produs gratuit? Îți spun eu: categoric NU!

      O zi bună. Și nu mai spune altora că Avira Suite sau AntiVir Premium sunt gratuite, că poate te mai crede cineva, și mai cad și alții în păcat. 🙂

      P.S.: Și până la urmă ce legătură are toată povestea asta cu vulnerabilitatea din Windows?

  17. ducu

    Teoretic ai dreptate !Practic ‘văd că trăiești într-o fantezie.’ :)As mai aduce putin vorba despre netiquette
    dar cred ca nu are sens…Oricum numai bine si sa ramai asa corect (sic!)toata viata…hahaha

    1. Cris

      Chestia e… n-am nimic cu nimeni. Radu poate să sugereze ce vrea pe blogul personal, iar utilizatorii pot să interpreteze cum doresc informațiile găsite aici sau prin alte părți.

      Însă ideea pe care vroiam eu să pun accent e: folosește cum dorești acea promoție, dar nu susține că produsul e gratuit. Că există ”metode” de a-l folosi la limita legalității (teoretic mai mult pe-afară, decât înauntru, dar practic invers, pentru că nimeni nu prea poate dovedi nimic), asta e altceva…

      O zi bună. 😉

      P.S.: Îmi cer scuze dacă am fost puțin prea agresiv 😀

  18. Catalin(MalwareWiki)

    wow Cris parca ar fi un razboinic 😐

    1. Cris

      Mda… războinicul luminii stinse 😀 😀

      ducu a făcut o afirmație și m-a rugat să comentez. Am comentat. 😛

  19. Cris

    Ca să nu zică cineva că exagerez, acesta este răspunsul oficial primit de la suportul tehnic 🙂
    ========================================================================

    de la Avira GmbH
    răspunde la Avira GmbH
    către ~snip.email~
    data 27 iulie 2010, 12:18
    subiect (Call #1029935) Re: New Customer Care Feedback
    trimis de avira.com
    semnat de avira.com

    Dear Mr. ~snip.nume~,

    Thank you for your email.

    I´m glad to answer your question.

    You are right – we offer you the possibility to try our Avira product for 3 months on your PC. Afterwards, we offer you the possibility to order a license for this product via our website, if you was satisfied. It is not allowed, to use a trial license permanently.

    I hope that I could help you.
    Have a nice day!


    Freundliche Gruesse / Best regards
    Avira GmbH

    Angelo Soccodato
    Customer Care Center

    Avira GmbH
    Lindauer Str. 21, D-88069 Tettnang, Germany
    Internet: http://www.avira.com

    Geschäftsführender Gesellschafter: Tjark Auerbach
    Sitz der Gesellschaft: Tettnang; AG Ulm HRB 630992
    ———————————————————————-

    Minimieren Sie Ihre Sorgen. Maximieren Sie Ihre Sicherheit:
    http://www.avira.de

    Minimize your worries. Maximize your security: http://www.avira.com

    ———————————————————————–
    ALLGEMEINE GESCHAEFTSBEDINGUNGEN
    Es gelten unsere Allgemeinen Geschaeftsbedingungen (AGB). Sie finden
    sie in der jeweils gueltigen Fassung unter http://www.avira.de/agb.
    ———————————————————————-
    ———————————————————————-

    Hinweis: Ihre Email bleibt in unserem System unter dem
    in der Betreff-Zeile genannten Call vier Wochen gespeichert.
    Bitte lassen Sie den Betreff unverändert, falls Sie uns in
    dieser Zeit wegen weiterer Fragen zu diesem Call erneut
    kontaktieren möchten. Nutzen Sie einfach nur die Reply-Funktion
    Ihres Email-Programms.

    Möchten Sie uns nach Ablauf der vier Wochen eine Nachricht
    senden, dann versehen Sie Ihre Email bitte mit neuem Betreff.
    Vielen Dank!

    ————————————————————————

    Indication: Your email will be saved in our system under
    the call stated in the subject heading. Please do not change
    the subject heading, in case you should contact us again during
    this period of time for further questions related to this call. Simply
    use the reply function of your email program.

    If you would like to send us a message after those four weeks
    have expired, then do please add a new subject heading to your email.
    Thank you!

    ————————————————————————

  20. Catalin(MalwareWiki)

    Mi se pare logic ce au zis ei 🙂

Leave a Reply