2010年7月16日，Windows快捷方式自動執(zhí)行0day漏洞（微軟安全知識庫編號2286198）被披露，很快網(wǎng)上已經(jīng)可以找到利用這個漏洞攻擊的樣本。利用Windows快捷方式自動執(zhí)行0day漏洞可以做到：看一眼惡意軟件就中毒，而根本不需要去執(zhí)行它。這個漏洞將會被廣泛使用，網(wǎng)民須高度重視。

攻擊者利用Windows快捷方式自動執(zhí)行0day漏洞，可以制作一個特殊的lnk文件（LNK是快捷方式文件的擴(kuò)展名），當(dāng)Windows解析這個LNK文件時，會自動執(zhí)行指定的惡意程序。這個漏洞最佳利用通道是U盤、移動硬盤、數(shù)碼存儲卡，也可以是本地磁盤或網(wǎng)絡(luò)共享文件夾，當(dāng)U盤或網(wǎng)絡(luò)共享文件夾存在這樣的攻擊程序時，只需要使用資源管理器，或與資源管理器類似的應(yīng)用程序查看這個文件夾，不需要手動運行病毒程序，病毒自己就會觸發(fā)。

這個漏洞最令人吃驚的地方在于，“不需要雙擊病毒文件，僅看一眼文件圖標(biāo)就中毒”。幾年前，曾經(jīng)有個叫“新歡樂時光（VBS.KJ）”的病毒廣為流傳，VBS.KJ病毒會在每個文件夾下生成desktop.ini和folder.htt文件（這兩個文件控制了文件夾在資源管理器中的顯示）。只要打開被病毒修改過的含有desktop.ini和folder.htt的文件夾，不需要雙擊病毒，看一眼就中毒。現(xiàn)在和新歡樂時光傳播類似的病毒將要出現(xiàn)了，盡管我們現(xiàn)在還沒有看到很多病毒作者利用Windows快捷方式漏洞傳播，但相信這種病毒攻擊一定會有。

Windows快捷方式自動執(zhí)行0day漏洞存在所有流行的Windows版本，包括尚未公開發(fā)布的Windows 7 SP1 beta和Windows 2008 R2 SP1 beta。意味著，這個風(fēng)險幾乎遍布所有安裝了Windows的電腦。

微軟lnk漏洞解決方案

防止這個漏洞被利用，微軟方面提供了幾個暫時緩解的方案：

1.關(guān)閉快捷方式圖標(biāo)的顯示，不過這會讓W(xué)indows界面變得奇丑，因為一個個漂亮的桌面圖標(biāo)和開始菜單圖標(biāo)全都不顯示了。

a.在“開始”——“運行”中輸入regedit.exe，打開注冊表。

b.定位到注冊表HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler。

c.右鍵IconHandler選擇導(dǎo)出，并保存為IconHandlerbak.reg。

d.重啟EXplorer或者重啟電腦即可，不過在我測試看來桌面變的慘不忍睹。

2.建議企業(yè)用戶關(guān)閉WebClient服務(wù)，個人用戶（一般不使用網(wǎng)絡(luò)共享資源）可以不必考慮這個問題。

a.在“開始”－“運行”中輸入“Services.msc”，打開服務(wù)控制面板

b.找到“WebClient”服務(wù)項，如果其正在運行狀態(tài)中，請先將其關(guān)閉，之后修改啟動類型為“已禁用”。

此方案所帶來的影響：WebDAV請求將不會被傳輸，另外任何明顯依賴于“WebClient”服務(wù)的其它服務(wù)項會受到影響。

3.關(guān)閉U盤自動播放可以避免插上U盤的動作就中毒，只有手動查看文件夾才有風(fēng)險。

4.以受限用戶權(quán)限運行計算機(jī)可以降低風(fēng)險。

對于喜歡使用各種Windows美化版的用戶來說，可能麻煩更大一些，這些美化版大都修改了shell32.dll，針對這個Windows快捷方式自動執(zhí)行0day漏洞的修補(bǔ)程序，可能去修補(bǔ)shell32.dll，可能會讓這些美化版出現(xiàn)一些問題。倘若這些真的發(fā)生了，那些使用美化版的盜版Windows用戶也許會拒絕這個重要的安全補(bǔ)丁，從而加劇利用此漏洞的病毒傳播。

【編輯推薦】

1. Windows動態(tài)圖標(biāo)處理爆出0day嚴(yán)重漏洞
2. “極光”IE 0day漏洞攻擊量激增上萬網(wǎng)站掛馬