竟然这么快就遇到“.INK”病毒了

wjcharles

优盘去学校实验室电脑插了一下，回来发现中奖了，没想到传说中的0day漏洞竟然这么快影响到我了。。。大家要小心啊
MSE日志：
Microsoft Antimalware has detected spyware or other potentially unwanted software.
For more information please see the following:
http://go.microsoft.com/fwlink/?linkid=37020&name=Exploit:Win32/CplLnk.B&threatid=2147636391

Name: Exploit:Win32/CplLnk.B

ID: 2147636391

Severity: Severe

Category: Exploit

Path: file:M:\__e__.lnk;file:M:\__f__.lnk;file:M:\__g__.lnk;file:M:\__h__.lnk;file:M:\__i__.lnk;filelocalcopy:C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{31942C15-FCD7-4F3D-B7E7-5BC52DD1C9E0}-__h__.lnk;filelocalcopy:C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{98A81616-F2C5-42D4-ABE1-BAE41AF739B0}-__f__.lnk;filelocalcopy:C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{9A4B4792-33A8-4986-9A93-5D2CD44DA9A6}-__i__.lnk;filelocalcopy:C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{CF1A460F-219A-4AC5-AA8E-8AD944E8BC6B}-__g__.lnk;filelocalcopy:\\?\C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{C20F9126-DA2A-4875-A459-9621A3EDA72D}-__e__.lnk

Detection Origin: Local machine

Detection Type: Concrete

Detection Source: Real-Time Protection

Status: Suspended

User: LH-2UYY8QJXV2NM\Administrator

Process Name: C:\Windows\explorer.exe

Signature Version: AV: 1.87.421.0, AS: 1.87.421.0

Engine Version: 1.1.6004.0



NIS的日志：
2010/7/23 22:36,高,检测到 autorun.inf (W32.Downadup!autorun) (检测方: Auto-Protect),已隔离,已解决 - 不采取操作

微软的病毒百科：
注意病毒还是新版的。。。
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=Exploit%3aWin32%2fCplLnk.B&threatid=2147636391


Exploit:Win32/CplLnk.B (?)

Encyclopedia entry
Updated: Jul 20, 2010  |  Published: Jul 20, 2010

Aliases

• 
  CVE-2010-2568 (other)
  

Alert Level (?)
Severe

Antimalware protection details
Microsoft recommends that you download the latest definitions to get protected.

Detection initially created: Definition: 1.87.193.0 Released: Jul 20, 2010

---

On this pageSummary|Symptoms|Technical Information|Prevention|Recovery

---

Summary

Exploit:Win32/CplLnk.B is a generic detection for the vulnerability that is described by CVE-2010-2568.

When a user browses a folder that contains the malicious shortcut using an application that displays shortcut icons, the malware runs instead. An example of an application that displays shortcut icons is Windows Explorer. No further user interaction is required, in most cases.

Top

---

SymptomsThere are no common symptoms associated with this threat. Alert notifications from installed antivirus software may be the only symptom(s).


Top

---

Technical Information (Analysis)Exploit:Win32/CplLnk.B is a generic detection for the vulnerability that is described by CVE-2010-2568. Exploit:Win32/CplLnk.B is a minor variation ofExploit:Win32/CplLnk.A.
When a user browses a folder that contains the malicious shortcut using an application that displays shortcut icons, the malware runs instead. An example of an application that displays shortcut icons is Windows Explorer. No further user interaction is required, in most cases.

Successful exploitation results in the malware running with the privileges of the logged-on user.
Additional Information

This vulnerability is referenced as Microsoft Security Advisory (2286198) and CVE-2010-2568. See Microsoft Security Advisory (2286198) for more information.

Analysis by Peter Ferrie

米短跑选手外

E文不行 看不太懂·～

猪头大队

占楼看帖，关键是样本

bluelaser

上样本。

c0x9z8

LZ是用mse杀了么？？？

wjcharles

.INK结尾的样本都被MSE直接删除，NIS隔离的那个不知道是不是。。。

nzhnha

学校的机器你也敢查U盘？

a28522287

谷歌大婶的翻译
微软反恶意软件检测到间谍软件或其他可能不需要的软件。
欲了解更多信息，请参见以下内容：
http://go.microsoft.com/fwlink/? ... threatid=2147636391

名称：漏洞：Win32/CplLnk.B

编号：2147636391

严重性：严重

分类：漏洞

路径：文件：男：\ __e__.lnk;文件：男：\ __f__.lnk;文件：男：\ __g__.lnk;文件：男：\ __h__.lnk;文件：男：\ __i__.lnk; filelocalcopy中：C ：\ programdata文件\微软\微软反恶意\ LocalCopy \（31942C15 - FCD7 - 4F3D - B7E7 - 5BC52DD1C9E0）- __h__.lnk; filelocalcopy中：C：\ programdata文件\微软\微软反恶意\ LocalCopy \（98A81616 - F2C5 - 42D4 - ABE1 - BAE41AF739B0）- __f__.lnk; filelocalcopy中：C：\ programdata文件\微软\微软反恶意\ LocalCopy \（9A4B4792 - 33A8 - 4986 - 9A93 - 5D2CD44DA9A6）- __i__.lnk; filelocalcopy中：C：\ programdata文件\微软\微软反恶意\ LocalCopy \（CF1A460F - 219A - 4AC5 - AA8E - 8AD944E8BC6B）- __g__.lnk; filelocalcopy：\ \？\ ç：\ programdata文件\微软\微软反恶意\ LocalCopy \（C20F9126 - DA2A - 4875 - A459 - 9621A3EDA72D）- __e__.lnk

检测产地：本地机

检测类型：混凝土

检测资料来源：实时保护

状态：暂停

用户名：LH的，2UYY8QJXV2NM \管理员

进程名称：C：\的Windows \ Explorer.exe中

签名版本：影音：1.87.421.0，如：1.87.421.0

引擎版本：1.1.6004.0



国家情报院的日志：
2010/7/23 22:36，高，检测到的Autorun.inf（W32.Downadup！自动运行）（检测方：自动保护），已隔离，已解决 - 不采取操作

微软的病毒百科：
注意病毒还是新版的。。。
http://www.microsoft.com/securit ... y.aspx?name=Exploit％3aWin32％2fCplLnk.B＆threatid = 2147636391


漏洞：Win32/CplLnk.B（？）

百科全书条目
更新：2010年7月20日|发布时间：2010年7月20日

别名

•
商用车展览会- 2010 - 2568（其他）


戒备级别（？）
严重

反恶意保障详情
Microsoft建议您下载最新的定义，以获得protected.Detection最初创建：
定义：1.87.193.0
发行时间：2010年7月20日




-------------------------------------------------- ------------------------------
在此pageSummary |症状|技术信息|预防|复原




-------------------------------------------------- ------------------------------

摘要
漏洞：Win32/CplLnk.B是对是漏洞CVE - 2010 - 2568中描述的漏洞通用检测。


当用户浏览一个文件夹，包含恶意使用的应用程序的快捷方式显示的快捷方式图标，而不是运行恶意软件。一个应用程序的快捷方式图标显示的例子是Windows资源管理器。没有进一步的用户交互是必需的，在大多数情况下。



顶部

-------------------------------------------------- ------------------------------

SymptomsThere与此相关的威胁没有共同的症状。从安装的防病毒软件警报通知，可能是唯一的症状（第）。


顶部

-------------------------------------------------- ------------------------------

技术信息（分析）漏洞：Win32/CplLnk.B是对是漏洞CVE - 2010 - 2568中描述的漏洞通用检测。漏洞：Win32/CplLnk.B是一个小变化ofExploit：Win32/CplLnk.A。
当用户浏览一个文件夹，包含恶意使用的应用程序的快捷方式显示的快捷方式图标，而不是运行恶意软件。一个应用程序的快捷方式图标显示的例子是Windows资源管理器。没有进一步的用户交互是必需的，在大多数情况下。

在与成功的权限运行恶意软件开发成果已登录的用户。
附加信息
此漏洞被引用为微软安全通报（2286198）和CVE - 2010 - 2568。请参阅Microsoft安全通报（2286198）以获取更多信息。



彼得费里埃分析

皇柝

MSE的强项就是对付自家漏洞…但是一般的病毒木马还差了点

460355165

可以去买彩票了