微软Lnk漏洞就是利用了系统解析的机制,攻击者恶意构造一个特殊的Lnk(捷径)档案,精心构造一串程式代码来骗过作业系统。当Shell32.dll解析到这串编码的时候,会认为这个"捷径"依赖一个系统控制项(dll档案),于是将这个"系统控制项"载入到记忆体中执行。如果这个"系统控制项"是病毒,那幺Windows在解析这个lnk(捷径)档案时,就把病毒激活了。
基本介绍
- 中文名:微软LNK漏洞
- 利用:系统解析的机制
- 构造:Lnk(捷径)档案
- 依赖:系统控制项(dll档案)
定义
在我们平时启动电脑上的程式时,很多情况下是先双击程式的捷径,再由捷径启动相应的程式。捷径的扩展名为lnk,lnk档案多存在于桌面、开始选单的各个程式组、系统列的快速启动栏。
Windows作业系统为了将这些漂亮的图示显示在捷径上,会派发一个任务给Shell32.dll去完成捷径图示的解析工作。在Shell32.dll的解析过程中,会通过"捷径"的档案格式去逐个解析:首先找到捷径所指向的档案路径,接着找到捷径依赖的图示资源。这样,Windows桌面和开始选单上就可以看到各种漂亮的图示,我们点击这些捷径时,就会执行相应的应用程式。
原因
1. 这个漏洞最突出的特点是“看一眼就中”,危险程式不需要手动执行,浏览就自动运行;
2. 存在漏洞的机器无处不在,在微软提供修复补丁之前,几乎所有计算机都存在漏洞,都是黑客攻击的潜在目标;
3、很久没有这幺严重的系统漏洞可被用于攻击,并且防御系统相对薄弱。比如因为金山网盾防御网页挂马很强悍,人们几乎不需要对浏览器组件漏洞挂马感到担心。同时,因为Windows内置防火墙或第三方防火墙性能卓越,一般的可用于远程发起攻击传播蠕虫的系统漏洞基本可控。但对于微软lnk漏洞,现阶段几乎没有好的防御手段。
传播方式
微软Lnk漏洞(捷径漏洞)具有非常好的触发特性,一句话解释就是,“看一眼就中毒”。病毒传播者会精心构造一个特殊的lnk档案和一个lnk调用的病毒档案。通过随身碟、移动硬碟、数码存储卡複製传播这些档案,也可以将病毒档案打包在正常程式的压缩档中。当病毒被複製到或解压到目标位置,用户使用一些资源管理器软体去访问这些资料夹时,不需要其它任何操作,病毒程式就会被立即执行。
如果病毒保存在USB存储器上,对于多数启用了随身碟自动运行功能的电脑,插入随身碟的动作,即可同时运行病毒。在区域网路的已分享档案中若存在这样的档案,正常电脑访问这些已分享档案夹,就会立即中毒。
这种lnk档案自动运行的特性,对病毒传播提供了难得的机会。金山毒霸安全实验室认为,利用lnk漏洞(捷径漏洞)的病毒将会越来越多。
免疫方案
使用金山网盾
为解决微软lnk漏洞(捷径漏洞)带来的危害,金山毒霸安全实验室紧急发布微软lnk漏洞(捷径漏洞)应急免疫,免费的上网安全防护软体——金山网盾升级到最新版本即可实现漏洞免疫,通过金山网盾对所有自动运行的进程进行自动防护。即使用户访问病毒所在的资料夹浏览档案名称,金山网盾也会阻止恶意lnk档案自动调用病毒攻击程式。
金山毒霸2011套装和金山网盾的用户只需要升级到最新版本即可获得微软lnk漏洞(捷径漏洞)免疫功能。此外,金山安全专家建议用户安装免费的金山卫士,该产品可帮助用户第一时间修复微软发布的最新补丁。
哪些用户将受到微软lnk漏洞影响?
微软官方漏洞公告说,Windows XP以后的所有作业系统(包括Windows Vista、Windows 7、Windows Server 2003和Windows Server 2008的各个版本)均受此影响,在中国,这样的计算机大约有2-3亿台。
这个漏洞是7月16日被发现的,到下一个微软的例行漏洞修复日,还有2-3周的时间。而用户安装补丁也需要时间,一直存在很多电脑不打补丁的情况。
据金山毒霸安全实验室分析,在中国存在大量美化版的盗版Windows,这些盗版Windows可能出现打补丁后,图示显示异常,用户也许会排斥补丁程式。这些因素可能导致较多电脑长期置身于lnk漏洞(捷径漏洞)的危险之中。
修複方法
对以这种用户,可以用可牛微软LNK(捷径)漏洞补丁修复工具来进行修复,很小的一个工具,比较好用。而且,可牛是目前保持100%查杀率而闻名的国内防毒软体,以卡巴斯基为核心,以先进的云引擎和本地引擎双引擎方式来保护作业系统的健康。
