“看一眼就中毒” 微软lnk漏洞相关病毒样本提供下载

拉达曼迪斯

还没下载，小A就秒杀

liu5678

那个实例，被NIS2010无情的秒掉。而且是整个压缩包删除。任何文件都不留下～～～～～

shixh3929

看看这个病毒咋回事呢

saibanzhizun

不明白什么意思？

jinkashentong

金山  干掉了！

FDXLMC

网盾拦了。

zhousulin5

下了，解压了，改名了。
没事，插入explorer的模块列表中没有dll.dll，也没有弹窗。
但是MD没有提示，不知道是挡的什么行为。也许是软件策略的功劳？
再试试看。
放C盘根目录了（貌似在哪里看到说有个LNK概念病毒的样本是需要放这里的），仍然没有动静。
明天开一个无防御的虚拟机试试，看看到底是什么个表现。

在虚拟机中下了另一个样本，试了一遍又一遍，终于有了一个结论：这个LNK漏洞确实非常危险，甚至只要打开那个LNK所在目录也会让explorer如病毒所愿去加载dll（不过当目录名字中有下划线时好像就需要右键查看属性才会激活，很奇怪），软件策略对它根本无效。我以前认为是把LNK文件当DLL加载也是错误的想法。
昨天之所以我没有看到弹窗，大约是因为我没有把那个DLL文件放到system32目录下去，而我的MD规则中阻拦了当时样本所在路径的DLL加载。
假如病毒能够成功把DLL文件写入到system32目录下，我估计绝大多数HIPS都会被过（有些HIPS甚至默认就不拦截DLL加载的动作），因为就我的经历来看，我认为没有可能把system32下的dll全部预先分出可信与不可信来：用户总是有安装新软件的需要。幸好我们的HIPS规则多数情况是能够拦截到往system32下写DLL文件的动作的。
大胆预测一下，利用此漏洞的病毒将会产生大量变种，甚至可能会有大量变种过主流主防。当然，也许杀软们会有其他委琐的办法对付这些变种，毕竟一个正常的LNK文件不会有太多内容。
另外我提一个官方办法之外的一个思路，这个漏洞应该只能针对explorer，所以，我们可以用blackbox来替代explorer。

vte8689

真毒。。。

lpzwsdy2009

NOD32还在下载中就中断了我的链接

FBAV

没想到这个帖子还很火