[高危險]微軟作業系統lnk捷徑零時差漏洞

昨天銘在做網頁的空閒時間上去AVPClub看看,發現有一支新的樣本叫做第三代隨身碟病毒,因為之前都只有看過第二代,所以就點進去帖子看看,發現這個號稱第三代隨身碟病毒的東西原來是利用微軟的漏洞針對電腦進行感染、攻擊,第三代隨身碟病毒最大的賣點 及是.."看一眼立即中毒“,看倌們:沒搞錯吧?,請繼續往下看到底是什麼病毒有辦法用看的完全沒執行就會自動感染。

第三代隨身碟病毒正確的名稱叫做"捷徑(快捷)方式漏洞",這個漏洞跟以前的隨身碟病毒有著相同的特徵,只要看過之後系統就會遭受感染,只是這個病毒跟以往隨身碟病毒的傳染方式並不同,隨身碟病毒主體需要執行之後才會感染電腦然後插上隨身碟該隨身碟才會被感染,而這個快捷漏洞則是只要解壓縮到本地端並且瀏覽過後就會自動執行了,執行之後可能會產生:桌面圖標被篡改、桌面增加多個IE圖標、桌面捷徑打不開、修改IE主頁彈出各類廣告..等問題。

第三代隨身碟病毒已經顛覆了以往的感染模式,以往下載樣本下來之後即使解壓縮到桌面不要雙擊執行都不會有任何問題,可是這個lnk病毒在解壓縮完畢到本地之後就會自動執行並且感染電腦。

最重要的是黑客利用這個漏洞進行攻擊並不用擔心電腦防毒偵測,因為通常病毒只要一變種防毒軟體有些都會漏掉,黑客利用這個病毒的方式很廣,有的是利用來盜取帳號密碼、有的則是利用Internet Explorer瀏覽器進行偷渡下載,所以只需要短短的時間即可進行破壞不用擔心事後被防毒偵測且移除。

捷徑漏洞微軟安全知識庫編號:KB2286198

※lnk捷徑漏洞受影響作業系統包刮Windows XP、Windows Vista、Windows 7、Windows 2003、Windows 2008..等。

相關文檔:

《Windows捷徑漏洞攻擊有擴大之虞》

看完上述介紹有經驗的讀者一定心理都有底,對這隻病毒唯一的方式只有就是「防」。

銘針對微軟作業系統整理了以下方式希望讀者自行參考並且取用:

※以下方法請照著順序做,並非只做到單獨一項即可完全杜絕。

一、安裝防毒軟體:

雖然這隻病毒只要繞過防毒即可進行破壞,可是目前據以公開的樣本都可以明確的看到防毒軟體有一半以上的比率可以偵測出lnk病毒,加上目前防毒軟體都有「啟發式偵測」、「行為防護」、「主動式防禦」、「雲端防護」、「雲端即時響應(即時分析)」功能,所以可以多多少少的過濾掉lnk病毒,且可以防範別的隨身碟病毒插上電腦立即感染,當然安裝防毒軟體是最基礎的一道門,如果電腦還沒安裝防毒臨時又抽不出$買防毒可以參考銘之前寫的文章:

《2010》免費的資安軟件、工具(防護更全面,免費可以用的比付費還奔~)

二、關閉作業系統中的自動播放(讀取)功能:

自從隨身碟病毒傳染散布開來之後,許多人都會將電腦的USB、光碟機自動播放(自動讀取)功能關閉,因為關閉USB自動播放之後可以防止有感染過的USB一插上電腦立即感染電腦。如果不知道要如何關閉自動執行USB的功能請參考「不來恩」大大寫的文章:

《TweakUI 如何關閉隨身碟、光碟機的自動播放功能?(AutoPlay、Autorun)》

三、使用微軟臨時釋出工具"Fix-It"修復漏洞:

微軟在漏洞證實五天之後釋針對「Windows Shell」安全漏洞的臨時解決工具"Fix-It",Fix-It主要是將微軟作業系統的IconHandler(圖示)關閉,這個方法是目前微軟釋出的可用方法。

《點我下載Fix-It(50486)》

《點我下載Fix-It(50487)》

※銘不知道為何會一次發佈兩個,如果擔心的話請兩個同時下載並同時進行安裝。

不過Fix-It該工具有副作用…,該工具副作用及是安裝Fix-It工具之後,所有的圖示都會呈現白色變得非常難看,如果你是一個非常注重作業系統安全或者使用中的電腦有著重要資料當然建議安裝Fix-It不過如果你是非常注重美觀的請自行決定是否安裝,若決定不安裝請等待到下個月微軟釋出安全性更新(patch)在安裝安全性更新,當然建議這段期間不要插USB、隨意下載檔案,當然從Fix-It工具釋出這個動作可以看到微軟緊迫的想要杜絕這個漏洞的傷害擴大,也可以看出這個捷徑漏洞帶來的危險性有多大!,因為Windows作業系統一向都是以美觀作為賣點而非安全性,所以微軟犧牲了作業系統美觀這步銘真的覺得微軟真的很猛..。

如果懶的下載微軟釋出的工具想要自己手動禁止IconHandler的話,請參考以下方法:

1.開始→執行→輸入:regedit,打開登陸檔編輯程式

2.找到註冊表:HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler

3.在IconHandler上面點選右鍵選擇導出,並儲存為:IconHandlerbak.reg

4.將HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler 數值資料改為空的。

※手動修改方式一樣會與Fix-It有相同副作用。

四、關閉WebDAV功能。

捷徑零時差漏洞感染途徑不止透過USB作為傳染途徑,還有透過「WebDAV」進行傳播,WebDAV該功能通常只有安裝IIS用戶才需要關閉,一般家用用戶若沒有在使用網路共享資源的即可不必做此步驟。

1.開始→執行→輸入:Services.msc,打開系統服務控制頁面。

2.找到「WebClient」服務項目,如果WebClient正在運行中的話請將他關閉,接著請修改啟動類型修改為「已禁用」

※如果不知道如何手動關閉「WebClient」可以直接使用對岸可牛免費殺毒釋出的微軟LNK漏洞修復工具 《點我下載》

關閉WebClient服務項所帶來的影響及是WebDAV請求將不會被傳輸,另外如果有程式是倚賴WebClient服務的也有可能會受到影響。

五、WinRAR禁止.lnk、.pif、.tmp進行壓縮

第五個方法適用於是使用WinRAR壓縮軟體的讀者們,這個方法是利用WinRAR的安全性功能達到禁止特殊附檔名進行壓縮的方法,因為如果這隻病毒一旦開始於Mail上面流傳,通常黑客為了防止病毒遭到防毒軟體下載後立即查殺都會先使用壓縮軟體將病毒本體壓縮起來並且設上密碼,這個方法可以防止在壓縮的過程中禁止壓縮特定附檔名,只要.lnk、.pif沒被壓縮出來病毒就無法達到本地自動執行並且感染。

開啟WinRAR程式→上方工具列找到「選項」→「設定」→「安全性」→解壓縮時要排除的檔案類型打勾,下方框框中*.exe *.com *.pif *.scr *.bat *.cmd *.lnk內容先去除,接著輸入:*.lnk *.pif *.tmp

結語:

這次的漏洞算是2010年微軟作業系統目前最大的漏洞之一..,這個漏洞可能就像隨身碟病毒一樣不斷的傳播,第一隻熊貓燒香生產於2007年現在已經2010年了感染的事件還是層出不窮(昨天姊姊同學隨身碟裡面也有兩隻 – -),加上這隻病毒比隨身碟病毒感染途徑還要多樣化,建議如果可以的話將此篇文章傳播下去,畢竟在微軟安全性更新出來之前還是只能靠這幾個方法做防範,

當然如果你是屬於重灌狂人(意思就是中毒馬上抓去重灌)那就可以不用參考銘寫的東西..,據目前災情還沒有看到該隻病毒自動執行「AV終結者」、「鬼影病毒」等重灌型無效病毒,可是如果公司有重要資料建議還是犧牲掉系統的美觀換來安全..,

至於有人可能會問上面提出的方法銘自己使用了幾樣呢?,銘:老實說..因為家用電腦的關係..我只有用第一樣而已(謎之聲:身教做的有夠差勁)。

總之發佈這些方法希望可以幫助到大家把傷害降到最低,寫網頁去了噢 大家掰掰-ˇ-

  • Flymia

    啊啊,這次這個還真的是難解….就我所知關閉自動讀取是沒用的(因為你一點入隨身碟,看到icon還是中毒…)
    防毒軟體也掃不了(病毒本體全包到了捷徑中…似乎沒有防毒軟體會去掃描捷徑內容?!!)

    唯一的防堵方式是用微軟牌工具把icon功能全關掉!!
    味味味!哪個白癡寫出這種垃圾的啊~~!不是說用來攻擊發電廠嗎?閒著沒事加入自我複製功能幹嘛~想試試看天網會不會跟著出現嗎?

    M$大神~快出捕丁把這個簡單的漏洞修好吧~~!!
    ——————————————————————-
    回覆『Flymia』:
    關閉自動讀取至少不會先讀取裡面的資料,也不會先感染電腦..
    如果有裝防毒的話可能就可以在前面先把病毒給銷燬..
    如果自動讀取是開著的..,引用的病毒防毒偵測出來可能就會直接被繞過..
    如果防毒自保不強可能就會看到右下角的圖示不見或者..變成灰色的(望

    聽說是普通的程式設計人員開發出來的..,重點是引用的病毒程式還有台灣瑞昱半導體、智微科技的數位簽章..導致很多防毒軟體都不敢直接查殺(望

    記憶中第二代隨身碟病毒也是台灣的某大學散播出來的(望..,該不會這隻病毒也是台灣的黑客寫出來的吧..(冏)

    有可能沒辦法完全杜絕..隨身碟病毒是個很好的例子..(望

  • Flymia

    附帶一提~重灌狂人(一般人版)遇到這個就頭痛吧(狂笑
    多數人重灌歸重灌,但不會順手把手邊所有記憶卡、隨身碟、手機記憶體、DV、網路上的芳鄰們的電腦一起格式化,結果灌了半天,病毒還是好好的住在電腦裡也殺不掉(笑
    ———————————————————————
    回覆『Flymia』:
    重灌完畢 插上隨身碟 用了幾天網路速度又變慢 在抓去重灌..
    可能會重灌到手軟吧 冏rz
    這就是台灣景氣非常差 修電腦的還是不致於會倒店的原因(笑ˇ

  • http://www.bb42.com bb霜

    学习了,管用
    ———————————————————————-
    回覆『bb霜』:
    : )

  • http://bbs.xddd.in s884812

    這個0day滿驚人的 :D
    ———————————————————————-
    回覆『s884812』:
    對岸已經有人在學校插上隨身碟然後中標了(望
    看來災情會漸漸擴大的…
    號稱2010最嚴重的漏洞(望

  • POWERONE

    請問卡巴斯基2011的啟動碼如何啟動?
    好像無法用"瀏覽"直接去找機活碼
    ———————————————————————
    回覆『POWERONE』:
    目前卡巴斯基2011已經關閉直接使用金鑰檔案…只能使用激活碼..
    至於金鑰檔案的使用方法還是有破解方案- / –
    不過因為目前我手邊還有網頁要做..金鑰直接導入的方法可能會延期到Kaspersky 2011正體中文版本出來之後我才會做全面教學..
    到時候正體中文出來還請多多關注- / –
    激活碼目前網路上應該有辦法找的到..,前幾天有在某個BBS上看過有人發佈..
    耐心找應該是找的到!(望
    當然有能力的話還是請支持正版
    畢竟現在正版蠻便宜的 6~700/年 相較以往 這個價格已經非常親民了!!

  • 这边文章出来前案组那老早就开发出来了
    至要程序也出来了打这边有何意?
    ———————————————————————
    回覆『陳』:
    …首先,台湾的网友基本上不会去逛暗组的网站…休闲小铺的内容比较不导向技术性(这东西我也写出不来)所以看休闲小铺文章的人基本上都比较偏向新手类比较多.. 这是个大漏洞..所以我觉得有必要写一篇文章就是了..

    最后…你似乎是台湾人 干嘛用简体中文作为输入用语…?
    打正体中文就可以了 讲正体中文马欸通