前进者论坛

 找回密码
 点此开始
查看: 1896|回复: 0
打印 上一主题 下一主题

预防利用微软Lnk漏洞产生的病毒攻击

[复制链接]

Rank: 3Rank: 3

跳转到指定楼层
楼主
发表于 2012-8-14 18:07:54 |只看该作者 |倒序浏览
       该漏洞的原理:
  在我们平时启动电脑上的程序时,很多情况下是先双击程序的快捷方式,再由快捷方式启动相应的程序。快捷方式的扩展名为lnk,lnk文件多存在于桌面、开始菜单的各个程序组、任务栏的快速启动栏。

  Windows操作系统为了将这些漂亮的图标显示在快捷方式上,会派发一个任务给Shell32.dll去完成快捷方式图标的解析工作。在Shell32.dll的解析过程中,会通过"快捷方式"的文件格式去逐个解析:首先找到快捷方式所指向的文件路径,接着找到快捷方式依赖的图标资源。这样,Windows桌面和开始菜单上就可以看到各种漂亮的图标,我们点击这些快捷方式时,就会执行相应的应用程序。

  Windows Lnk漏洞就是利用了系统解析的机制,攻击者恶意构造一个特殊的Lnk(快捷方式)文件,精心构造一串程序代码来骗过操作系统。当Shell32.dll 解析到这串编码的时候,会认为这个"快捷方式"依赖一个系统控件(dll文件),于是将这个"系统控件"加载到内存中执行。如果这个"系统控件"是病毒,那么Windows在解析这个lnk(快捷方式)文件时,就把病毒激活了。
      这个漏洞触发的根本原因是特殊构造的快捷方式加载CPL图标的时候会直接通过“LoadLibraryW”函数加载dll文件(本来只是想加载文件的图标资源的,但是没有判断这个dll文件是否是特殊的CPL文件,结果直接把恶意的dll文件直接加载了)从而导致用户通过资源管理器浏览器的时候触发漏洞,实际上是一种微软设计上的缺陷,没有很好的检查文件的安全性。

  大家从原理上就能看出,利用该漏洞进行传播的病毒基本上防不胜防的,以下是一些可能的传播方式:

  1. USB设备感染.

  这个漏洞可以不依赖autorun.inf就可以自动执行。因此可以很容易地通过USB设备(U盘,MP3,移动硬盘,数码存储卡等)进行传播。

  2. 网络共享.

  通过网络共享复制恶意的快捷方式文件的时候将触发这个漏洞,也可通过复制恶意快捷方式文件至别人的共享磁盘中发动攻击。

  3. 恶意网站(可能的感染方式)

  黑客将一个恶意的快捷方式文件上传到网站,这将促使IE浏览器去尝试检查正确的图标并显示。

  4. Office文档(可能的感染方式)

  Office productivity suites(包含但不限于微软 office)允许文档里面内嵌文件,如果一个恶意的快捷方式被打包到文档里面,软件会尝试显示快捷方式的图标从而可能触发漏洞执行恶意代码。通过邮件攻击可能是这种方式比较好的一种方式,因为很多邮件客户端会显示附件文件
       5. 软件安装(可能的感染方式,也许是除了usb最可能被隐形利用的)
  也就是在软件安装包中恶意插入lnk文件,当运行安装的时候执行漏洞。

  6. 压缩文件

  将恶意的快捷方式放到压缩包中,浏览或解压文件时将执行漏洞。

  以下是一些预防措施,可以降低漏洞被执行的可能性,但不能从根本上解决问题:

  1. 安装微软的临时补丁

  下载地址:http://support.microsoft.com/kb/2286198

  注意:该补丁将会取消快捷方式文件图标的显示

  2. 安装有效的杀毒软件

  如果你不喜欢桌面的图标变得白花花一片,那么在微软的正式补丁出来之前,建议喜欢“裸奔”的各位仁兄还是乖乖地装上一个杀毒软件吧,金山、江民、可牛……对于号称能够拦截Lnk病毒的杀软,我们都可以尝试一下。


  3. 设置网络共享访问权限

  设置网络共享访问密码或暂时关闭写入权限,可有效地降低漏洞被利用的机率。

  4. 使用沙盒访问互联网

  使用各种沙盒软件,如SandboxIE,在一个封闭的环境中去访问互联网,就算遇到恶意软件和病毒,也不会影响到真实的系统。

  5. 从可靠的来源获取软件

  尽可能从各种软件的官方网站获取软件,也可以从安全措施做得较好的软件下载站获取软件。值得一提的是云端软件平台(http://www.yunduan.cn),它所提供的所有软件是经过编辑手动安装测试并用7款杀毒软件扫描之后才发布的,相当可靠。

  6. 设置解压时排除的文件类型

  以WinRAR为例,在其菜单 选项?设置?安全 中,勾选上“解压时排除的文件类型”,并将 *.lnk 填入文本框中。



  7. 禁止接收邮件附件,并用文本方式显示邮件

  针对电子邮件中可能带来的恶意攻击,采用这两种措施可有效地降低被攻击的可能。

回复 论坛版权

使用道具 举报

您需要登录后才可以回帖 登录 | 点此开始

简洁版|前进者科技 (粤ICP备10058857号-2)|

GMT+8, 2024-12-5 03:50 , Processed in 0.089153 second(s), 20 queries .

Powered by Discuz! X2.5

bbs.qianjinzhe.com

回顶部