致命漏洞 冲击9成网民

安全维护

安全实验室 肖梓航 · 2010年8月2日 第30期

传说中,当你看到美杜莎时,你就已经石化了,变成一座雕塑。现实中,当你看到特制文件时,你就已经中毒了,成为黑客的盘中餐,而这一切,都是微软的快捷方式漏洞导致的。

漏洞特性 看一眼就中毒

7月16日,Windows系统爆出快捷方式漏洞。如果你因为Windows经常爆漏洞而对此条信息毫不在意,你将陷入危险之中,因为这是一个影响面广而且致命的漏洞!

的确,Windows系统一年可能要爆出上百个漏洞,但像快捷方式漏洞这样危险的漏洞,一年也未必出得了一个,它和当年在网上肆虐的冲击波漏洞、震荡波漏洞同属一个危险等级,而且利用该漏洞制作的病毒很容易被触发——当你在电脑上看到病毒文件时,病毒就会即刻激活!这种“看一眼,就中毒”的特性,令人防不胜防。

同时,Windows XP及更高级版本的操作系统都会受到该漏洞的影响,这样的电脑有多少呢?据调查公司etMarketShare最新数据显示,Windows市场份额为91.46%(图1)。保守估计,国内约9成网民的电脑受到该漏洞的威胁。

30-g09-01.jpg
图1

也许你会说“打上漏洞补丁就好了”。打上正式补丁的确可以堵上漏洞,但至今为止,微软还没有发布正式补丁,而在正式补丁发布前的真空期,利用该漏洞传播的病毒已经出现,之后还会成倍增长,肆无忌惮地发动恶意攻击。

“我还有杀毒软件,就算有利用该漏洞的病毒,我也不怕!”如果你这样想就完了!因为该漏洞为病毒传播提供了新方法,而目前杀毒软件面对新的病毒传播方法显得苍白无力,如果病毒再经过免杀,那就更难防范!换句话说,在没有做好正确防范措施的时候,你的电脑等于完全不设防!

中了利用快捷方式漏洞制作的病毒会有什么后果?你的电脑可能变成病毒源,感染所有插入电脑的闪存,代表病毒是快捷方式蠕虫(图2)。它一诞生就在极短时间内感染超过30万台电脑,每天以数十个变种的速度疯狂繁殖(数据来自瑞星)。

30-g09-02.jpg
图2

你的电脑可能会被病毒控制,病毒会在后台偷偷监视你的行为,当发现你启动网游或者QQ等程序时,就会记录你输入的敏感数据,发送到预设的远方服务器,就这样你的网游账号、QQ账号等个人敏感数据就被盗走了。

这样的病毒现在多吗?据我们调查,大量黑客正在加班加点炮制利用快捷方式漏洞传播的病毒,预计此类病毒将出现爆炸式增长。面对致命的漏洞,面对即将来袭的病毒风暴,我们应该怎么办呢?

补丁未出 暂用临时解决方案

到截稿为止,微软还没有推出补丁(预计要8月中旬才出),这么恐怖的漏洞留在我们身边,当真是寝食难安,怎么办?用微软的临时解决方案吧!微软提供了一个名为Fixit50486的修补工具(下载地址:http://go.microsoft.com/?linkid=9738980)。

该工具通过修改注册表的键值,禁用系统显示.lnk文件图标的功能,这样做的后果是用户的开始菜单、桌面、快速启动栏等处的快捷方式图标一律变为空白(图3),丧失了一部分用户体验(微软极少发布这种牺牲系统功能的临时修复工具,这也从另一个方面体现了漏洞的严重性和修补的急迫性)。

g10-图3.jpg
图3

如果使用Fixit50486的过程中发生错误,可以使用另一个工具Fixit50487(下载地址:http://go.microsoft.com/?linkid=9738981)来撤销此前的操作。此外,一些安全厂商也推出了临时解决补丁,大家可以通过安全辅助工具打上补丁。

延伸阅读>>

快捷方式漏洞是如何产生的

快捷方式漏洞到底是怎么形成的?这要从快捷方式工作原理说起。Windows操作系统为了显示快捷方式文件的图标,会通过快捷方式文件格式寻找它的图标所在位置。

这个图标既可以是一个单独的图片,也可以是任意一个.dll文件中的图标资源。如果是后者,系统将加载这个.dll文件,然后找到其中的图标资源,将它显示出来。因此,大家就可以看到快捷方式呈现出各种不同的图标了。

利用这个机制,黑客可以构造一个包含有恶意代码的.dll文件,里面就包含有图标,当系统加载快捷方式图标时,加载的是恶意.dll文件中的图标,从而完全释放恶意代码,执行黑客预定的操作。

如何堵上漏洞呢?有两个思路,第一个思路是快捷方式模拟映射.dll而不加载.dll,这种解决方法需要修改系统内核的机理,改动特别大,难度非常高。

第二个思路是加载图标时必须直接指向图片,而不通过.dll,这种解决方法的难度相对较小。

编辑观察>>

快捷方式漏洞为闪存病毒传播提供新途径

快捷方式漏洞是怎么威胁广大网民的呢?当针对漏洞特制的快捷方式文件被用户看到时,不需要点击就会自动释放恶意代码。这意味着什么?这意味着在所有病毒类型中,闪存病毒将会出现革命性变化。

此前的闪存病毒,都是通过Autorun自运行的方式来激活病毒,这种传播方式已经有好几年了,早被杀毒软件和安全辅助工具所熟知,所以它们防范闪存病毒比较得心应手,大大限制了闪存病毒的传播。

如今,闪存病毒可以不再依靠Autorun,利用快捷方式漏洞就可以感染电脑,就算用户关闭了系统的自动播放功能,就算用户通过资源管理器访问闪存,看到闪存里面的内容时就激活了病毒。

更糟糕的是,新闪存病毒可以轻易避开杀毒软件和安全辅助工具针对闪存做的防护,长驱直入感染电脑,直接威胁用户的个人账号安全,例如网游账号、QQ账号等,会给用户造成极大的损失。

快捷方式漏洞帮助闪存病毒摆脱了单一感染途径,新增了快捷方式感染途径,必将掀起一波惊世骇俗的恶浪,闪存病毒的数量会在极短时间之内出现爆炸式增加,疯狂攻击9成网民的电脑。