23.05.2006.

Firma Eset poinformowała o opracowaniu opartej na analizie heurystycznej ochrony przed exploitem wykorzystującym najnowszą lukę w programie MS Word. W rezultacie wszyscy użytkownicy NOD32 pozostają chronieni zanim Microsoft przygotuje oficjalną łatę, której publikacja planowana jest na 13 czerwca. Znany exploit wykorzystujący tę lukę rozprzestrzenia się poprzez e-mail jako załącznik Word. Po otwarciu dokumentu, exploit omija zabezpieczenia i instaluje konia trojańskiego na komputerze użytkownika. Jak twierdzi firma ESET, w najbliższym czasie należy spodziewać się nowych exploitów przygotowywanych z wykorzystaniem tej luki, podobnie jak działo się to w grudniu 2005 roku z exploitami wykorzystującymi nieszczelność w Microsoft Windows Metafile. W ciągu kilku dni pod wykryciu pierwszego exploita rozpoczęło się wtedy masowe rozprzestrzenianie złośliwych programów wykorzystujących znany błąd.

Co ważne, wykrywa nowe exploity nie poprzez zwykłą sygnaturę, lecz z wykorzystaniem części silnika ThreatSense (tzw. sygnatury generyczne rozpoznające różne odmiany podobnego zagrożenia). Oznacza to, iż wykrywane będą również powstające nowe exploity wykorzystujące ujawnioną dziurę w MS Word.

Sukces został potwierdzony przez monitorujące szybkość reakcji firm antywirusowych niezależne laboratorium AV-Test.org. – Eset nie tylko był jedną z pierwszych firm posiadających sygnatury wykrywające Win32/Genui Trojan, ale jako pierwszy wykrywał zagrożenie poprzez sygnatury generyczne, już 21 maja około północy czasu GMT – skomentował Adreas Marx, szef AV-Test.org. – To pozwala efektywnie zapobiegać również nowym zagrożeniom usiłującym wykorzystać najnowszą lukę. – dodaje Marx.

Użytkownicy chronieni są już od 21 maja po aktualizacji silnika ThreatSense i nie muszą podejmować żadnych specjalnych działań. W przypadku ataku exploita, jest on automatycznie blokowany i usuwany.