McAfee Avert Labs blog: Abusing Shortcut files

sun88990

還不了解什麼是LNK MALWARE嗎？
http://www.avertlabs.com/researc ... ing-shortcut-files/

菜鸟007

滥用快捷方式文件

星期一2009年1月26日在上午10时47科委
本所发布的介


引用

快捷方式，或lnk文件，都是小的二进制文件的路径有一个应用程序，有时可选参数。 这些文件是用于运行应用程序和文件夹放在那里很容易获得用户的等地的台式机和应用发射器。 该lnk文件也放在Startup文件夹中运行时自动启动系统。 这种间接的方式对正在运行的应用程序往往是吸引恶意软件编写者的捷径没有得到所谓的大多数用户的注意，为了安全上的可执行文件的。 在Avert实验室，我们最近看到了一些恶意软件的快捷方式文件滥用发起恶意文件/脚本在几个不同的方式。 在这里，我们介绍一些方法，我们最近看到：
创建快捷方式的文件链接到恶意软件的文件

这是一种简单的方法来推出的恶意软件的用户的行动或重新启动系统。 这些lnk文件创建在桌面上，网络共享，甚至启动文件夹。 其中一个变种的间谍Agent.bw特洛伊木马已知利用快捷方式运行。
寄生虫感染捷径

我们已经看到W32/Mokaksu病毒修改所有lnk文件，并在桌面上添加的路径恶意文件的原始路径。



上面的例子是捷径的Adobe Acrobat Reader恶意软件感染。 的路径恶意“ Config.Msi.exe ” （在红色方块）是加在原始路径“ AcroRd32.exe ” （黄色框） 。 在快捷方式，原来的道路被当作一个参数的恶意文件。 经点击快捷方式，运行的W32/Mokaksu恶意软件以及执行的原始档案，同时在后台运行。 最终用户只看到这是应用相关的快捷方式启动，从而更难通知用户的感染。
脚本的快捷方式

捷径往往可以包含脚本“ cmd.exe ” ，而不是链接到可执行木马文件。 在下载，生物放大系数木马即属此类。



当用户点击这些lnk文件，默默的脚本创建和下降的FTP脚本然后下载欢乐脚本从FTP服务器。 下载的欢乐剧本，然后下载木马负责档案。

在第一个2例，快捷的方式就是启动的恶意软件，而在过去的情况下，这些lnk文件是独立的恶意文件中，没有其他恶意的可执行文件，但需要有合法的“ cmd.exe ” 。 这种类型的lnk文件可以附加到电子邮件或主办的网站上。 这意味着，我们必须更加小心lnk文件。 用户可以方便地检查捷径浏览档案财产或浏览该文件的二进制编辑器。



如果您发现可疑的字符串，请不要运行该文件，而是发出文件，以避免进一步的研究。

本条目被张贴在周一， 2009年1月26日在上午10时47分，并提交下BOT与电脑网络的研究 ， 资料泄露 ， 窃取数据 ， 开发研究 ， 一般的计算机安全 ， 恶意软件研究 ， rootkit和隐身恶意软件 ， 漏洞研究 。 您可以按照任何反应，此项目通过2.0饲料。您可以leave a response留下响应 ，或者引用从您自己的网站。

sun88990

Google翻譯的嗎?