看一眼就中毒 详解微软lnk漏洞(快捷方式漏洞)
微软漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,使攻击者能够在未授权的情况下访问或破坏系统,按严重程度分为“紧急”、“重要”、“警告”、“注意”四种。
近日,微软 lnk漏洞(快捷方式漏洞)的相关信息被披露,因为利用这个漏洞传播恶意软件具备“看一眼就中”的显著特性,立即引发安全厂商的高度关注。金山毒霸反病毒专家李铁军受邀给广大网友全面解析微软 lnk漏洞,提醒公众高度重视,尽早采取必要的防范措施。
微软lnk漏洞(快捷方式漏洞)是什么?
在我们平时启动电脑上的程序时,很多情况下是先双击程序的快捷方式,再由快捷方式启动相应的程序。快捷方式的扩展名为lnk,lnk文件多存在于桌面、开始菜单的各个程序组、任务栏的快速启动栏。
Windows操作系统为了将这些漂亮的图标显示在快捷方式上,会派发一个任务给Shell32.dll去完成快捷方式图标的解析工作。在Shell32.dll的解析过程中,会通过"快捷方式"的文件格式去逐个解析:首先找到快捷方式所指向的文件路径,接着找到快捷方式依赖的图标资源。这样,Windows桌面和开始菜单上就可以看到各种漂亮的图标,我们点击这些快捷方式时,就会执行相应的应用程序。
微软 Lnk漏洞就是利用了系统解析的机制,攻击者恶意构造一个特殊的Lnk(快捷方式)文件,精心构造一串程序代码来骗过操作系统。当Shell32.dll解析到这串编码的时候,会认为这个"快捷方式"依赖一个系统控件(dll文件),于是将这个"系统控件"加载到内存中执行。如果这个"系统控件"是病毒,那么Windows在解析这个lnk(快捷方式)文件时,就把病毒激活了。
为什么微软lnk漏洞危害如此严重?
1.这个漏洞最突出的特点是“看一眼就中”,危险程序不需要手动执行,浏览就自动运行;
2.存在漏洞的机器无处不在,在微软提供修复补丁之前,几乎所有计算机都存在漏洞,都是黑客攻击的潜在目标;
3、很久没有这么严重的系统漏洞可被用于攻击,并且防御系统相对薄弱。比如因为金山网盾防御网页挂马很强悍,人们几乎不需要对浏览器组件漏洞挂马感到担心。同时,因为Windows内置防火墙或第三方防火墙性能卓越,一般的可用于远程发起攻击传播蠕虫的系统漏洞基本可控。但对于微软lnk漏洞,现阶段几乎没有好的防御手段。
病毒如何利用微软 lnk漏洞(快捷方式漏洞)传播?
微软Lnk漏洞(快捷方式漏洞)具有非常好的触发特性,一句话解释就是,“看一眼就中毒”。病毒传播者会精心构造一个特殊的lnk文件和一个lnk调用的病毒文件。通过U盘、移动硬盘、数码存储卡复制传播这些文件,也可以将病毒文件打包在正常程序的压缩包中。当病毒被复制到或解压到目标位置,用户使用一些资源管理器软件去访问这些文件夹时,不需要其它任何操作,病毒程序就会被立即执行。
如果病毒保存在USB存储器上,对于多数启用了U盘自动运行功能的电脑,插入U盘的动作,即可同时运行病毒。在局域网的共享文件中若存在这样的文件,正常电脑访问这些共享文件夹,就会立即中毒。
这种lnk文件自动运行的特性,对病毒传播提供了难得的机会。金山毒霸安全实验室认为,利用lnk漏洞(快捷方式漏洞)的病毒将会越来越多。
哪些用户将受到微软lnk漏洞影响?
微软官方漏洞公告说,Windows XP以后的所有操作系统(包括Windows Vista、Windows 7、Windows Server 2003和Windows Server 2008的各个版本)均受此影响,在中国,这样的计算机大约有2-3亿台。
微软 lnk漏洞危害可能持续多长时间?
这个漏洞是7月16日被发现的,到下一个微软的例行漏洞修复日,还有2-3周的时间。而用户安装补丁也需要时间,一直存在很多电脑不打补丁的情况。
据金山毒霸安全实验室分析,在中国存在大量美化版的盗版Windows,这些盗版Windows可能出现打补丁后,图标显示异常,用户也许会排斥补丁程序。
这些因素可能导致较多电脑长期置身于lnk漏洞(快捷方式漏洞)的危险之中。
如何防范微软lnk漏洞的危害?
1.根本上解决,必须安装Windows补丁程序。待微软官方更新之后,用户立即到Windows Update安装补丁。
2.临时解决办法:安装金山网盾,升级后,获得对微软lnk漏洞(快捷方式漏洞)的免疫能力。
3.安装杀毒软件,检查U盘存储的文件,及时清理U盘中的病毒。
4.网管宜加强局域网共享权限的管理,关闭不受控的完全共享,避免病毒文件在局域网共享文件夹中传播。
相关文章
- 偶尔在网上看到这些,拿来和大家一块看看,也好让各个站长懂得保护自己的网站2012-10-16
- 安全狗是一款大家熟悉的服务器安全加固产品,据称已经拥有50W的用户量。最近经过一些研究,发现安全狗的一些防护功能,例如SQL注入、文件上传、防webshell等都可以被绕过2014-07-17
- 详解:跟以前动易一样注册会员时可以用xx.asp的样式注册。而我们上次的附件图片也都是按照我们的会员名来存放的。那么悲剧的0day就产生了。利用IIS解析特性! 利用2011-03-11
- 有点鸡肋,配合前几天公布的iis6文件名解析漏洞达到获取webshell的目的。2010-09-30
科讯网站管理系统 Kesion v6.5 CMS Oday 利用工具
通过自己构造参数AutoReName=3,可以将上传的文件名保存原样,通过截断可以直接得到SHELL限制,后台禁止了注册,或者禁止了上传,或者把user目录删除了,优点是不用找后台2010-09-30- 电脑用久了,装的软件,插件,越来越多,所做的操作也会留下很多垃圾文件保持在电脑上,加上电脑硬件也会老化,电脑中毒什么的。都有可能导致电脑开机速度慢。2012-05-04
- 首发:红科网安 作者:Amxking 漏洞程序:dedecms5.5 测试对象:织梦网CMS官方网站 提交时间:2010-03-17 漏洞类型:信息泄露 危险等级:低2011-03-11
- 先访问这个地址 Editor/asp/upload.asp?action=save&type=image&style=popup&cusdir=a.asp 访问这个地址可以建立个A.ASP的文件夹…… 再用这个2011-03-11
- PHP网页的安全性问题,针对PHP的网站主要存在下面几种攻击方式2011-03-11
- 漏洞原理 漏洞的利用原理很简单,请看Upload.asp文件: 任何情况下都不允许上传asp脚本文件 sAllowExt = Replace(UCase(sAllowExt), "ASP", &qu2011-03-11
最新评论