Новое поколение авторанов на флэшках. 

Казалось бы, авторанами уже никого не удивить. Антивирусники худо/бедно, но ловят их. Твиками реестра автозапуск тоже отключается (настоящие джедаи давно юзают волшебную комбинацию @SYS:DoesNotExist для файлов autorun.inf).
И вот в конце июля антивирусные компании сообщают о трояне Stuxnet http://news.drweb.com/show/?i=1229&lng=ru&c=5. У него много интересных особенностей (например, заражение SCADA-систем управления технологическими процессами; установка вредоносных компонент, подписанных подлинными сертификатами Realtec и JMicron), но одна примечательна особенно: для проникновения используется неизвестная ранее уязвимость, основанная на некорректном парсинге иконки ярлыка (lnk-файлов). Для запуска вредоносного кода достаточно просто увидеть саму иконку. При просмотре(!) заражённого ярлыка в Проводнике или любом другом файловом мененджере, отображающем ассоциированные иконки (например,ТоталКоммандере), автоматически запускается DLL, на которую этот самый ярлык ссылается. Никаких действий пользователя, кроме как зайти в папку с зараженным .lnk файлом, не требуется. Таким образом, специально сформированный lnk-файл на флэшке способен поразить систему даже с отключенным автозапуском. Более того, если ярлык вложен в документ офиса, то при открытии этого документа и попытке отобразить иконку ярлыка, вредоносный код также запустится.

За обработку иконок в винде отвечает системная библитека, прописанная в ключе реестра HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler. По умолчанию, это Shell32.dll. Согласно бюллетеню MS10-046 [внешняя ссылка] уязвимы все версии винды от 2000 до семерки и сервера2008. Заплаток для 2000/хр_sp2 нет, ввиду окончания их поддержки.
В качестве кардинальной меры до установки заплатки, можно отключить показ всех иконок в винде, отредактировав ключ реестра согласно рекомендациям бюллетеня. Либо довериться своему любимому антивирусу.

Таким образом, Stuxnet положил начало новому классу авторанов - LNK/Autostart ([внешняя ссылка]).

Стоит также добавить, что рабочий эксплоит существует и опубликован в свободном доступе - [внешняя ссылка].