微軟Windows 0day漏洞遭黑客利用 U盤(pán)成幫兇

金山毒霸云安全監(jiān)測(cè)中心近日監(jiān)測(cè)，微軟Windows快捷方式(.lnk)自動(dòng)執(zhí)行文件0day漏洞剛剛被發(fā)現(xiàn)，即已經(jīng)開(kāi)始被黑客利用，對(duì)用戶電腦展開(kāi)木馬攻擊。用戶只要開(kāi)啟了U盤(pán)自動(dòng)運(yùn)行功能，一旦插入U(xiǎn)盤(pán)或?yàn)g覽U盤(pán)上的文件，就可能感染木馬。致使用戶電腦中的設(shè)置被更改，不僅會(huì)彈出廣告網(wǎng)頁(yè)，甚至面臨游戲、qq、銀行賬號(hào)可能被盜走的危險(xiǎn)。金山安全反病毒專(zhuān)家表示，該漏洞可能會(huì)在近期引發(fā)大規(guī)模的木馬攻擊，在微軟沒(méi)有發(fā)布漏洞補(bǔ)丁之前，金山全系列安全軟件不用升級(jí)即可自動(dòng)免疫此類(lèi)漏洞及相關(guān)病毒木馬。

據(jù)悉，微軟windows操作系統(tǒng)剛剛被外國(guó)病毒作者曝出最新lnk 0day漏洞，并且有實(shí)驗(yàn)性病毒已經(jīng)在外國(guó)開(kāi)始流行，印度是重災(zāi)區(qū)。目前我國(guó)已出現(xiàn)利用該漏洞進(jìn)行攻擊的木馬。最先發(fā)現(xiàn)的兩個(gè)樣本釋放ROOTKIT病毒，以著名聲卡廠商Realtek的數(shù)字簽名來(lái)掩飾病毒文件，致使用戶感染。從理論上說(shuō)，該病毒可以通過(guò)U盤(pán)、sd卡、移動(dòng)硬盤(pán)等移動(dòng)存儲(chǔ)設(shè)備進(jìn)行傳播，對(duì)國(guó)內(nèi)數(shù)千萬(wàn)windows操作系統(tǒng)的用戶造成威脅。

對(duì)于該0day漏洞，金山安全反病毒專(zhuān)家李鐵軍表示，LNK文件指應(yīng)用程序快捷方式，一般啟動(dòng)一個(gè)程序的方法是雙擊桌面快捷方式或單擊開(kāi)始菜單中的快捷方式啟動(dòng)，而當(dāng)攻擊者利用此漏洞制作一個(gè)特殊的lnk文件，插入U(xiǎn)盤(pán)、移動(dòng)硬盤(pán)、數(shù)碼存儲(chǔ)卡時(shí)，病毒就因這個(gè)漏洞的存在而被自動(dòng)執(zhí)行。

李鐵軍表示，根據(jù)這個(gè)0day漏洞的特性，理論上利用該漏洞的病毒木馬傳播的最佳途徑應(yīng)該是USB設(shè)備(U盤(pán)，移動(dòng)硬盤(pán)，SD等數(shù)碼存儲(chǔ)卡)。默認(rèn)情況下Windows啟動(dòng)了自動(dòng)加載和自動(dòng)播放功能，因此在連接可移動(dòng)設(shè)備(如USB閃存)后Windows會(huì)自動(dòng)運(yùn)行資源管理器打開(kāi)U盤(pán)。目前這個(gè)漏洞正在被廣為應(yīng)用于傳播惡意軟件，而該漏洞將影響幾乎所有Windows操作系統(tǒng)。

李鐵軍強(qiáng)調(diào)指出，以前的U盤(pán)病毒大多利用auturun.inf配置自動(dòng)運(yùn)行來(lái)啟動(dòng)，而新漏洞的出現(xiàn)又為U盤(pán)病毒傳播增加了新的傳播手段，金山毒霸安全實(shí)驗(yàn)室預(yù)測(cè)近期利用該漏洞進(jìn)行傳播的U盤(pán)病毒很可能大面積爆發(fā)。

金山毒霸安全實(shí)驗(yàn)室監(jiān)測(cè)到利用lnk 0day漏洞傳播的病毒樣本，在對(duì)這些樣本進(jìn)行分析時(shí)，發(fā)現(xiàn)其中有個(gè)樣本包含Realtek Semiconductor Corp.的數(shù)字簽名，Realtek Semiconductor Corp.是知名的音頻芯片供應(yīng)商，在主板集成音頻DSP芯片中有很高的市場(chǎng)占有率。金山毒霸安全實(shí)驗(yàn)室的研究人員分析，這種情況可能是該公司的數(shù)字簽名被盜。

對(duì)于這個(gè)利用Windows 快捷方式自動(dòng)執(zhí)行0day漏洞的攻擊，金山毒霸安全專(zhuān)家指出，只要用戶安裝了金山任意一款安全產(chǎn)品，即可免疫此漏洞。如金山毒霸2011版默認(rèn)會(huì)禁用USB存儲(chǔ)設(shè)備的自動(dòng)播放功能，可免疫U盤(pán)病毒，金山毒霸2011的用戶不必?fù)?dān)心這個(gè)問(wèn)題。若已經(jīng)不幸中了此類(lèi)病毒，可以使用金山網(wǎng)盾一鍵修復(fù)功能進(jìn)行查殺修復(fù)。

此次漏洞距離微軟上次發(fā)布補(bǔ)丁不到3天，用戶可能需要一個(gè)月后才能安裝微軟官方補(bǔ)丁，在此期間沒(méi)有安裝金山產(chǎn)品的用戶，是此類(lèi)病毒的易感用戶。因此，廣大網(wǎng)友下載軟件使用U盤(pán)時(shí)需要格外小心，若發(fā)現(xiàn)異?？梢粤⒓词褂媒鹕骄W(wǎng)盾一鍵修復(fù)功能，幫您清除病毒木馬的威脅。

北京金山安全軟件有限公司簡(jiǎn)介：

北京金山安全軟件有限公司成立于2009年11月，總部位于北京，金山安全實(shí)驗(yàn)室及金山安全研發(fā)中心設(shè)立在珠海，其前身是金山軟件(HK3888)旗下的毒霸事業(yè)部。

目前金山安全已經(jīng)形成了專(zhuān)業(yè)殺毒軟件產(chǎn)品——金山毒霸;免費(fèi)電腦安全軟件——金山衛(wèi)士;免費(fèi)上網(wǎng)安全應(yīng)用軟件——金山網(wǎng)盾;面向企業(yè)應(yīng)用的專(zhuān)業(yè)安全產(chǎn)品——金山毒霸網(wǎng)絡(luò)版和面向手機(jī)安全的免費(fèi)手機(jī)安全軟件——金山手機(jī)安全衛(wèi)士等產(chǎn)品，全線覆蓋了互聯(lián)網(wǎng)用戶安全需求的方方面面，是一家產(chǎn)品全面，服務(wù)完整的專(zhuān)業(yè)互聯(lián)網(wǎng)安全企業(yè)。

金山安全依托“技術(shù)立業(yè)”理念，堅(jiān)持以用戶需求為導(dǎo)向，以解決中國(guó)互聯(lián)網(wǎng)用戶安全問(wèn)題為使命，深刻洞察中國(guó)互聯(lián)網(wǎng)時(shí)代安全需求的發(fā)展方向，為中國(guó)網(wǎng)民搭建了更全面、更立體、更有效地安全防御體系，引領(lǐng)行業(yè)共同打造安全的中國(guó)互聯(lián)網(wǎng)。