Dois novos ataques surgiram para se aproveitar da recente vulnerabilidade dia zero do Windows Shell. Assim como Stuxnet, esses novos ataques usam, especialmente, arquivos de atalhos fabricados (.LNK) que sejam baixados automaticamente pelo Windows e executam o código remoto. Conforme Sophos, o malware apareceu pela primeira vez na quinta-feira (22/07) à noite.

A primeira parte do vírus é chamado de Dulkis-A, e é uma “ameaça do tipo worm de Windows, escrito de forma obscura no Visual Basic, que se copia a qualquer anexo removível do dispositivo de armazenamento”, disse Graham Cluley, consultor sênior de tecnologia da Sophos, em declarações escritas no blog da empresa. A outra parte do malware é Chymine, aplicativo do tipo Troia, criado para roubar informações de computadores infectados.

A Microsfot anunciou na quinta-feira que disponibiliza uma ferramenta para ser instalada automaticamente, em uma ação alternativa para computadores que rodem Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, ou Windows Server R2. Infelizmente, o sistema inutiliza as funcionalidades .LNK e .PIF file, removendo todos os ícones gráficos e os substituindo por um ícone branco. A companhia espera, no futuro, entregar um dispositivo que elimine a vulnerabilidade e, ainda, restaure os ícones.

De quais outras formas os gestores de TI podem bloquear a vulnerabilidade? Sophos acredita que políticas de segurança podem ajudar. “Apenas permita que arquivos executáveis rodem a partir de certos sistemas operacionais, como o disco rígido, e nunca de uma porta USB ou outra mídia removível. Isso irá prevenir malwares que usem essas portas de entrada, como chaves USB ou outros produtos, como iPod ou BlackBerry.” Vale lembrar, contudo, que esses perigos também são liberados via websites.

Stuxnet, focado em sistemas de controle da Siemens e que parece ter sido desenhado pela espionagem industrial, ainda circula. Para ajudar clientes afetados, na última quinta-feira, a companhia divulgou uma ferramenta desenvolvida pela Trend Micro, Sysclean, para detectar e remover o vírus. Mas avisou: como cada sistema foi configurado individualmente, não é possível garantir que a remoção do vírus não afetará o sistema de alguma forma.

A Siemens ainda publicou um novo programa para seu sistema de controle de destribuição Simatic, que usa uma atualização da Microsoft para eliminar a vulnerabilidade, que, como resultado idêntico, elimina os ícones gráficos. “Tenha a garantia de que você anotou os nomes de seus links do desktop àqueles do menu de inicialização para poder encontrá-los facilmente posteriormente”, avisou.