2010年7月16日，Windows快捷方式自动执行0day漏洞(微软安全知识库编号2286198)被披露，很快网上已经可以找到利用这个漏洞攻击的样本。利用Windows快捷方式自动执行0day漏洞可以做到：看一眼恶意软件就中毒，而根本不需要去执行它。这个漏洞将会被广泛使用，网民须高度重视。

　　攻击者利用Windows快捷方式自动执行0day漏洞，可以制作一个特殊的lnk文件(LNK是快捷方式文件的扩展名)，当Windows解析这个LNK文件时，会自动执行指定的恶意程序。这个漏洞最佳利用通道是U盘、移动硬盘、数码存储卡，也可以是本地磁盘或网络共享文件夹，当U盘或网络共享文件夹存在这样的攻击程序时，只需要使用资源管理器，或与资源管理器类似的应用程序查看这个文件夹，不需要手动运行病毒程序，病毒自己就会触发。

　　这个漏洞最令人吃惊的地方在于，“不需要双击病毒文件，仅看一眼文件图标就中毒”。几年前，曾经有个叫“新欢乐时光(VBS.KJ)”的病毒广为流传，VBS.KJ病毒会在每个文件夹下生成desktop.ini和folder.htt文件(这两个文件控制了文件夹在资源管理器中的显示)。只要打开被病毒修改过的含有desktop.ini和folder.htt的文件夹，不需要双击病毒，看一眼就中毒。现在和新欢乐时光传播类似的病毒将要出现了，尽管我们现在还没有看到很多病毒作者利用Windows快捷方式漏洞传播，但相信这种病毒攻击一定会有。

　　Windows快捷方式自动执行0day漏洞存在所有流行的Windows版本，包括尚未公开发布的Windows 7 SP1 beta和Windows 2008 R2 SP1 beta。意味着，这个风险几乎遍布所有安装了Windows的电脑。

　　微软lnk漏洞解决方案

　　防止这个漏洞被利用，微软方面提供了几个暂时缓解的方案：

　　1.关闭快捷方式图标的显示，不过这会让Windows界面变得奇丑，因为一个个漂亮的桌面图标和开始菜单图标全都不显示了。

　　a.在“开始”-“运行”中输入regedit.exe，打开注册表。

　　b.定位到注册表HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler。

　　c.右键IconHandler选择导出，并保存为IconHandlerbak.reg。

　　d.重启EXplorer或者重启电脑即可，不过在我测试看来桌面变的惨不忍睹。

　　2.建议企业用户关闭WebClient服务，个人用户(一般不使用网络共享资源)可以不必考虑这个问题。

　　a.在“开始”-“运行”中输入“Services.msc”，打开服务控制面板

　　b.找到“WebClient”服务项，如果其正在运行状态中，请先将其关闭，之后修改启动类型为“已禁用”。

　　此方案所带来的影响：WebDAV请求将不会被传输，另外任何明显依赖于“WebClient”服务的其它服务项会受到影响。

　　3.关闭U盘自动播放可以避免插上U盘的动作就中毒，只有手动查看文件夹才有风险。

　　4.以受限用户权限运行计算机可以降低风险。

　　对于喜欢使用各种Windows美化版的用户来说，可能麻烦更大一些，这些美化版大都修改了shell32.dll，针对这个Windows快捷方式自动执行0day漏洞的修补程序，可能去修补shell32.dll，可能会让这些美化版出现一些问题。倘若这些真的发生了，那些使用美化版的盗版Windows用户也许会拒绝这个重要的安全补丁，从而加剧利用此漏洞的病毒传播。

文章如转载，请注明转载自：http://www.5iadmin.com/post/693.html