论文部分内容阅读
微软近日爆出了快捷方式自动执行高危Oday漏洞(简称快捷方式漏洞),该漏洞涉及微软XP、VlSta、Win7等主流操作系统,目前已发现木马利用该漏洞通过U盘、移动硬盘以及手机等USB设备传播病毒。专家称,利用该漏洞的快捷方式“看一眼就中毒”,危害极大,而且由于中国大多数用户都使用美化版的WindOW$,因此该漏洞将在很长时间内在国内存在。
快捷方式漏洞是什么
快捷方式我们很熟悉,大多数情况下我们都是双击程序的快捷方式,再由快捷方式启动相应程序的。快捷方式的扩展名为lnk,此类文件多存在于桌面(如图1)、“开始”菜单、快速启动栏等。
为了增加可视性,快捷方式都会配上图标,Windows为了将这些漂亮的图标显示在快捷方式上,会派发一个任务给“Shell32.dU”去完成快捷方式图标的解析工作。在"Shell32.dU”的解析过程中,会通过快捷方式的文件格式去逐个解析:首先找到快捷方式所指向的文件路径,接着找到快捷方式依赖的图标资源。这样Windows桌面和开始菜单上就可以看到各种漂亮的图标,我们点击这些快捷方式时,就会执行相应的应用程序。
快捷方式漏洞就是利用了系统解析的机制,攻击者首先会构造一个特殊的Ink文件(快捷方式),然后再构造一串程序代码来骗过操作系统。当Shell32.(ul解析到这串编码的时候,会认为这个快捷方式依赖一个系统控件(dU文件或exe文件,如图2),于是将这个系统控件加载到内存中执行。如果这个系统控件就是病毒,那么Windows在解析这个lnk文件时,就把病毒激活了。病毒如何利用快捷方式漏洞传播
前面我们说过,Windows会派发一个任务给“Shell32.dll”去完成快捷方式图标的解析工作,需要强调的是这个任务是自动执行的,也就是说,一当资源管理器(包括系统桌面等)或类资源管理器显示快捷方式时,Windows就会自动执行该任务,因此快捷方式漏洞具有非常好的触发性,用一句话概括就是“看一眼就中毒”。 见于该漏洞的这种特性,病毒传播者会精心构造一个特殊的Ink文件和一个Ink调用的病毒文件,通过u盘、移动硬盘、数码存储卡复制传播这些文件,也可以将这些快捷方式和病毒文件打包在正常程序的压缩包中。当这些快捷方式和病毒文件被复制到或解压到目标位置,用户使用资源管理器等软件显示时,不需要其它任何操作,病毒程序就会被立即执行。(如图3)
如果病毒保存在uSB存储器上,对于多数启用了u盘自动运行功能的电脑,插入u盘就可中毒。另外,若局域网的共享文件中存在这样的文件,其它电脑访问这些共享文件夹时也会立即中毒。
有报道称,360安全中心前几天截获了“假面”木马样本,经分析,该木马正是利用了快捷方式漏洞,在U盘等各种USB设备中创建恶意快捷方式,从而使木马在不同电脑间交叉感染。受快捷方式漏洞影响的用户
微软官方漏洞公告说,Windows XP以后的所有操作系统(包括Windows Vista、Windows7、Windows Server 2003和WindowsServer 2008的各个版本)均受此影响。这个漏洞是前几天被发现的,到下一个微软的例行漏洞修复日,还有2.3周的时间。由于中国用户大量使用美化版的盗版Windows,即使微软发布了补丁,这些盗版windows可能由于打补丁后图标显示不正常而拒绝使用该补丁,因此有专家称,在中国该漏洞可能会长期存在。
微软防范快捷方式漏洞的建议
到笔者发稿前,微软都没有公布具体将于何时修复漏洞,不过微软已针对该漏洞发布了安全说明,建议广大网民尽快按如下方式处理。
1.关闭快捷方式图标的显示
当显示快捷方式时,Windaws会自动解析快捷方式的图标,因此关闭快捷方式图标的显示,可以避免病毒被激活。
a,在“开始—运行”中输入“regedit.eye”。打开注册表编辑器。
b.定位到[HKEY_CLASSEs—ROOT|lnk~e\shellex|IconHandler]。
c.右键单击IconHandler,选择“导出”,备份该分支为“IconHandlerbak.reg",然后将该项的默认键(如图4)修改为空。
d.重启“explorer.exe",或者重启电脑即可
此种方法虽然会在一定程序上避免中毒。但它使你的Windows界面变得奇丑。因为一个个漂亮的桌面图标和开始菜单图标全都不见了,故不推荐使用这种方法。
2.关闭WebCIient服务
WebClient服务是Windows用于共享资源的服务,如果共享文件夹存在使用该漏洞的快捷方式,当用户访问这些文件夹时,你的电脑就会中招,因此建议个人电脑关闭该服务。
a.在“开始一运行”中输入"Services.msc",打开“服务”控制面板。
b.找到WebC~ent服务,如果其正在运行,请先将其关闭,之后修改启动类型为“已禁用”(如图)。此方案所带来的影响:WebDAV请求将不会被传输,另外任何依赖于WebCHent的服务都会受到影响。
3.关闭U盘自动播放
a.在“开始一运行”中输入“gpedit.msc”,打开组策略窗口。
b.定位到“在计算机配置一管理模板一系统”(如图6)。
c.双击“关闭自动播放”,在“设置”选项卡中选“已启用”选项,“关闭自动播放”选择“所有驱动器”即可。(如图7)
关闭U盘自动播放可以避免插上U盘即中毒,但不能排除手动查看文件带来的风险。
全面做好快捷方式漏洞的防范工作
从上面的描述可以看出,微软的建议并不能完全防范快捷方式漏洞带来的危险,因此,要保护电脑的安全,防洪快捷方式漏洞带来的危害,还需全面做好快捷方式漏洞的防范工作。
1.使用移动存储设备时务必小心,只可将此类设备与来源可信的计算机相连。
2.不要下载或点击保存在网络共享、Web或者通过电子邮件发送的Ink文件。
3.网络管理员应当拦截下载Ink文件,同时加强局域网共享权限的管理,关闭不受控的完全共享,避免病毒文件在局域网共享文件夹中传播。
4.微软官方更新之后,用户须立即使用Windows Update或者安全软件安装补丁。
快捷方式漏洞是什么
快捷方式我们很熟悉,大多数情况下我们都是双击程序的快捷方式,再由快捷方式启动相应程序的。快捷方式的扩展名为lnk,此类文件多存在于桌面(如图1)、“开始”菜单、快速启动栏等。
为了增加可视性,快捷方式都会配上图标,Windows为了将这些漂亮的图标显示在快捷方式上,会派发一个任务给“Shell32.dU”去完成快捷方式图标的解析工作。在"Shell32.dU”的解析过程中,会通过快捷方式的文件格式去逐个解析:首先找到快捷方式所指向的文件路径,接着找到快捷方式依赖的图标资源。这样Windows桌面和开始菜单上就可以看到各种漂亮的图标,我们点击这些快捷方式时,就会执行相应的应用程序。
快捷方式漏洞就是利用了系统解析的机制,攻击者首先会构造一个特殊的Ink文件(快捷方式),然后再构造一串程序代码来骗过操作系统。当Shell32.(ul解析到这串编码的时候,会认为这个快捷方式依赖一个系统控件(dU文件或exe文件,如图2),于是将这个系统控件加载到内存中执行。如果这个系统控件就是病毒,那么Windows在解析这个lnk文件时,就把病毒激活了。病毒如何利用快捷方式漏洞传播
前面我们说过,Windows会派发一个任务给“Shell32.dll”去完成快捷方式图标的解析工作,需要强调的是这个任务是自动执行的,也就是说,一当资源管理器(包括系统桌面等)或类资源管理器显示快捷方式时,Windows就会自动执行该任务,因此快捷方式漏洞具有非常好的触发性,用一句话概括就是“看一眼就中毒”。 见于该漏洞的这种特性,病毒传播者会精心构造一个特殊的Ink文件和一个Ink调用的病毒文件,通过u盘、移动硬盘、数码存储卡复制传播这些文件,也可以将这些快捷方式和病毒文件打包在正常程序的压缩包中。当这些快捷方式和病毒文件被复制到或解压到目标位置,用户使用资源管理器等软件显示时,不需要其它任何操作,病毒程序就会被立即执行。(如图3)
如果病毒保存在uSB存储器上,对于多数启用了u盘自动运行功能的电脑,插入u盘就可中毒。另外,若局域网的共享文件中存在这样的文件,其它电脑访问这些共享文件夹时也会立即中毒。
有报道称,360安全中心前几天截获了“假面”木马样本,经分析,该木马正是利用了快捷方式漏洞,在U盘等各种USB设备中创建恶意快捷方式,从而使木马在不同电脑间交叉感染。受快捷方式漏洞影响的用户
微软官方漏洞公告说,Windows XP以后的所有操作系统(包括Windows Vista、Windows7、Windows Server 2003和WindowsServer 2008的各个版本)均受此影响。这个漏洞是前几天被发现的,到下一个微软的例行漏洞修复日,还有2.3周的时间。由于中国用户大量使用美化版的盗版Windows,即使微软发布了补丁,这些盗版windows可能由于打补丁后图标显示不正常而拒绝使用该补丁,因此有专家称,在中国该漏洞可能会长期存在。
微软防范快捷方式漏洞的建议
到笔者发稿前,微软都没有公布具体将于何时修复漏洞,不过微软已针对该漏洞发布了安全说明,建议广大网民尽快按如下方式处理。
1.关闭快捷方式图标的显示
当显示快捷方式时,Windaws会自动解析快捷方式的图标,因此关闭快捷方式图标的显示,可以避免病毒被激活。
a,在“开始—运行”中输入“regedit.eye”。打开注册表编辑器。
b.定位到[HKEY_CLASSEs—ROOT|lnk~e\shellex|IconHandler]。
c.右键单击IconHandler,选择“导出”,备份该分支为“IconHandlerbak.reg",然后将该项的默认键(如图4)修改为空。
d.重启“explorer.exe",或者重启电脑即可
此种方法虽然会在一定程序上避免中毒。但它使你的Windows界面变得奇丑。因为一个个漂亮的桌面图标和开始菜单图标全都不见了,故不推荐使用这种方法。
2.关闭WebCIient服务
WebClient服务是Windows用于共享资源的服务,如果共享文件夹存在使用该漏洞的快捷方式,当用户访问这些文件夹时,你的电脑就会中招,因此建议个人电脑关闭该服务。
a.在“开始一运行”中输入"Services.msc",打开“服务”控制面板。
b.找到WebC~ent服务,如果其正在运行,请先将其关闭,之后修改启动类型为“已禁用”(如图)。此方案所带来的影响:WebDAV请求将不会被传输,另外任何依赖于WebCHent的服务都会受到影响。
3.关闭U盘自动播放
a.在“开始一运行”中输入“gpedit.msc”,打开组策略窗口。
b.定位到“在计算机配置一管理模板一系统”(如图6)。
c.双击“关闭自动播放”,在“设置”选项卡中选“已启用”选项,“关闭自动播放”选择“所有驱动器”即可。(如图7)
关闭U盘自动播放可以避免插上U盘即中毒,但不能排除手动查看文件带来的风险。
全面做好快捷方式漏洞的防范工作
从上面的描述可以看出,微软的建议并不能完全防范快捷方式漏洞带来的危险,因此,要保护电脑的安全,防洪快捷方式漏洞带来的危害,还需全面做好快捷方式漏洞的防范工作。
1.使用移动存储设备时务必小心,只可将此类设备与来源可信的计算机相连。
2.不要下载或点击保存在网络共享、Web或者通过电子邮件发送的Ink文件。
3.网络管理员应当拦截下载Ink文件,同时加强局域网共享权限的管理,关闭不受控的完全共享,避免病毒文件在局域网共享文件夹中传播。
4.微软官方更新之后,用户须立即使用Windows Update或者安全软件安装补丁。