Около месяца назад инженер Google Тэвис Орманди (Tavis Ormandy) описал уязвимость в Windows XP, которая позволяет получить злоумышленнику доступ к файлам на удаленном компьютере. А уже вчера количество зарегистрированных Microsoft атак, использующих данную уязвимость, превысило 10 тыс. Об этом сообщила сама корпорация в своем блоге на technet.com.

Брешь обнаружена в Центре справки и поддержки операционных систем Windows XP и Windows Server 2003. Другие операционные системы уязвимости не подвержены. В качестве варианта атаки злоумышленник может заманивать пользователя на сайт, где имеется ссылка для запуска Центра справки и поддержки вида hcp:// со специальным эксплойтом. Далее посредством исполняемого файла helpctr.exe на компьютере пользователя могут запускаться файлы.

Как указывают специалисты Microsoft, в течение первых дней после обнаружения уязвимости наблюдались лишь одиночные попытки аналитиков по информационной безопасности использовать «дыру». Однако после 15 июня фиксируется уже большое количество атак со стороны злонамеренных хакеров. Наибольшее число атак происходит с компьютеров из России и Португалии. В свою очередь, направлены атаки чаще против компьютеров из США, России, Португалии, Германии и Бразилии.

В настоящее время Microsoft работает над тем, чтобы устранить уязвимость. А до выпуска заплатки специалисты корпорации предлагают отключить протокол HCP.

Как отключить протокол HCP

Правкой реестра. На самом деле, это не очень сложно, а делается так. (Учтите, что отключение протокола HCP не позволит полноценно пользоваться Центром Справки и Поддержки! Если он вам очень нужен, не стоит делать описанного ниже. Впрочем, в данном случае всё можно вернуть, да и ценность этого Центра, откровенно говоря, весьма сомнительна.)

1. Запускаем редактор реестра. Для этого жмём Пуск⇒Все программы⇒Выполнить. В открывшемся окне набираем «regedit» и жмём «ОК».
   
   После чего, соответственно, открывается редактор реестра собственной персоной.
2. Находим ветку HKEY_CLASSES_ROOT\HCP. Вот так она выглядит:
   
3. Делаем бэкап этой ветки. Бэкап никогда лишним не бывает (вдруг что-то откажется работать после нашей процедуры? Будет из чего восстановить), а делаем его следующим образом. Выделяем указанную ветку курсором, клацаем по ней правой кнопкой мыши, в выпавшем контекстном меню выбираем «Экспортировать» и сохраняем ветку в виде файла с расширением .reg под любым именем в любом месте компьютера, но так, чтоб найти в случае чего.
   
4. Удаляем ветку. Не надо комментировать, как? Опция «Удалить» находится двумя пунктами контекстного меню выше «Экспортировать».

Собственно, всё. Чтобы восстановить удалённую из реестра информацию (нужно делать в том случае, если что-то перестало работать после удаления или «кровь из носа» понадобился Центр справки), достаточно найти сохранённый бэкапный файлик и дважды щёлкнуть по нему левой кнопкой мыши. Система переспросит нас, действительно ли надо добавить информацию из файла в реестр — и, если не передумали, жмите ОК. Кстати, осторожнее с реестром, если возьмётесь его редактоировать! Делайте только то, о чём говорится, и не ставьте экспериментов. Реестр — штука весьма хрупкая и нежная.