USB破坏程序利用 Windows 快捷方式漏洞弱点

Sammi888

近来有报导公布了新种的恶意软件透过USB 等可卸除式装置在进行滋生繁衍。该恶意软件利用了在快捷方式程序中新发现的，会让随机的程序在使用者的系统中受执行的弱点漏洞。Microsoft微软已正式承认该弱点漏洞，并已发布了安全公告。

趋势科技 的工程师取得了此恶意软件的样本，经侦测定名为WORM_STUXNET.A，以下是分析发现的归纳总结：

繁衍

不再使用AUTORUN.INF档案程序，然后将本身复制到USB等可卸除和固定装置上的手法，WORM_STUXNET.A会产生一个指向可执行档案程序的.LNK快捷方式档案程序。被置入的.LNK档案程序利用这个弱点漏洞产生一个新的复制的WORM_STUXNET.A到其它的系统中。趋势科技 侦测出这些.LNK档案程序为LNK._STUXNET.A.。

图1、被投置的.LNK档案

隐藏能力

除了将己身的复制档案置入USB等可卸除式装置中，这些破坏程序也会产生一个RTKT_STUXNET.A的rootkit来隐藏程序。这让破坏程序不受使用者的注意，也让研究人员的分析工作愈发困难。

与足球的联结

WORM_STUXNET.A同时也被发现与特定的网站连结，有趣的是这些网站皆与足球相关。目前在前述的网站中并未发现有任何恶意活动的痕迹，因此尚无法对该程序的目的下定论。

产生.LNK档案的手法，是破坏程序透过USB 等可卸除式装置繁衍孳生的另一种发展方式。我们曾在最近报导过使用AUTORUN.INF（the AUTORUN.INF Action Key）行动键来自动执行恶意档案程序的手法。

尽管在网络中已提供了不少可能的扩散手法，网络犯罪份子仍持续散布USB恶意软件，足证他们的行事效率。这款恶意软件在「认识USB恶意软件（Understanding USB Malware）」此文中有更进一步的讨论。

由于此弱点漏洞与Windows窗口如何处理快捷方式图标相关，避免此问题的一个建议就是关闭所有快捷方式图标。Microsoft微软的安全公告中已包括了如何进行的流程。

＠原文：USB Worm Exploits Windows Shortcut Vulnerability

法贡森林

沙发，貌似现在的新潮流病毒真是层出不穷啊！

紫雪纷纷

已经将自动播放功能禁掉了
暂时只插自己的个人U盘

XMonster

還以為LZ是蓋帽呢

safeworld

早已经禁止自动播放。。。

冒个泡儿

很强大的中毒方式啊

猪头大队

又见国外区的官人说这事儿了，此病毒真的如此可怕吗

coolboy45

最讨厌u盘病毒了……

★比尔·盖帽★

沙发，貌似现在的新潮流病毒真是层出不穷啊！
法贡森林 发表于 2010.7.26 13:10

谁让Windows千疮百孔呢

★比尔·盖帽★

還以為LZ是蓋帽呢
dm34343667 发表于 2010.7.26 13:14

我已经换头像半个月了