lnk漏洞（快捷方式漏洞）全面解析

lnk 漏洞（快捷方式漏洞）全面解析

7 月 16 日， Windows lnk 漏洞（快捷方式漏洞）的相关信息被披露，因为利用这个漏洞传播恶意软件具备“看一眼就中”的显著特性，立即引发安全厂商的高度关注。

本资料试图向公众完整解释与 lnk 漏洞（快捷方式漏洞）有关的信息，提醒公众高度重视，尽早采取必要的防范措施。

lnk 漏洞（快捷方式漏洞）是什么？

在我们平时启动电脑上的程序时，很多情况下是先双击程序的快捷方式，再由快捷方式启动相应的程序。快捷方式的扩展名为 lnk ， lnk 文件多存在于桌面、开始菜单的各个程序组、任务栏的快速启动栏。

Windows 操作系统为了将这些漂亮的图标显示在快捷方式上，会派发一个任务给 Shell32.dll 去完成快捷方式图标的解析工作。在 Shell32.dll 的解析过程中，会通过 " 快捷方式 " 的文件格式去逐个解析：首先找到快捷方式所指向的文件路径，接着找到快捷方式依赖的图标资源。这样， Windows 桌面和开始菜单上就可以看到各种漂亮的图标，我们点击这些快捷方式时，就会执行相应的应用程序。

Windows Lnk 漏洞就是利用了系统解析的机制，***者恶意构造一个特殊的 Lnk （快捷方式）文件，精心构造一串程序代码来骗过操作系统。当 Shell32.dll 解析到这串编码的时候，会认为这个 " 快捷方式 " 依赖一个系统控件（ dll 文件），于是将这个 " 系统控件 " 加载到内存中执行。如果这个 " 系统控件 " 是病毒，那么 Windows 在解析这个 lnk （快捷方式）文件时，就把病毒激活了。

病毒如何利用Windows lnk 漏洞（快捷方式漏洞）传播

Lnk 漏洞（快捷方式漏洞）具有非常好的触发特性，一句话解释就是，“看一眼就中毒”。病毒传播者会精心构造一个特殊的 lnk 文件和一个 lnk 调用的病毒文件。通过 U 盘、移动硬盘、数码存储卡复制传播这些文件，也可以将病毒文件打包在正常程序的压缩包中。当病毒被复制到或解压到目标位置，用户使用一些资源管理器软件去访问这些文件夹时，不需要其它任何操作，病毒程序就会被立即执行。

如果病毒保存在 USB 存储器上，对于多数启用了 U 盘自动运行功能的电脑，插入 U 盘的动作，即可同时运行病毒。在局域网的共享文件中若存在这样的文件，正常电脑访问这些共享文件夹，就会立即中毒。

这种 lnk 文件自动运行的特性，对病毒传播提供了难得的机会。金山毒霸安全实验室认为，利用 lnk 漏洞（快捷方式漏洞）的病毒将会越来越多。

受lnk 漏洞影响的系统：

微软官方漏洞公告说， Windows XP 以后的所有操作系统（包括 Windows Vista 、 Windows 7 、 Windows Server 2003 和 Windows Server 2008 的各个版本）均受此影响，在中国，这样的计算机大约有 2-3 亿台。

漏洞危害可能持续的时间

这个漏洞是 7 月 16 日被发现的，到下一个微软的例行漏洞修复日，还有 2-3 周的时间。而用户安装补丁也需要时间，一直存在很多电脑不打补丁的情况。

据金山毒霸安全实验室分析，在中国存在大量美化版的盗版 Windows ，这些盗版 Windows 可能出现打补丁后，图标显示异常，用户也许会排斥补丁程序。

这些因素可能导致较多电脑长期置身于 lnk 漏洞（快捷方式漏洞）的危险之中。

如何防范lnk 漏洞的危害         

1. 根本上解决，必须安装 Windows 补丁程序。待微软官方更新之后，用户须立即使用金山卫士或 Windows Update 安装补丁。

2. 临时解决办法：安装金山网盾，升级后，获得对 lnk 漏洞（快捷方式漏洞）的免疫能力。

3. 安装金山毒霸 2011 安全套装，检查 U 盘存储的文件，及时清理 U 盘中的病毒。

4. 网管宜加强局域网共享权限的管理，关闭不受控的完全共享，避免病毒文件在局域网共享文件夹中传播。

 

相关链接：

3 亿用户受威胁 金山网盾紧急免疫微软lnk漏洞

U 盘病毒肆虐横行 金山毒霸2011全面解决隐患

高危Windows 0day漏洞：看一眼就中毒

Microsoft Security Advisory (2286198)

微软Windows 0day漏洞遭***利用 u盘成帮凶