0day漏洞遭利用 存儲U盤成幫兇
所謂的0day漏洞實際上就是破解的意思,最早的破解是專門針對軟件的,后來才發展到游戲,音樂,影視等其他內容的。而信息安全意義上的0Day是指在安全補丁發布前而被了解和掌握的漏洞信息。金山毒霸云安全監測中心近日監測,微軟Windows快捷方式(.lnk)自動執行文件0day漏洞剛剛被發現,即已經開始被黑客利用,對用戶電腦展開木馬攻擊。
據了解,用戶只要開啟了U盤自動運行功能,一旦插入U盤或瀏覽U盤上的文件,就可能感染木馬。致使用戶電腦中的設置被更改,不僅會彈出廣告網頁,甚至面臨游戲、qq、銀行賬號可能被盜走的危險。
金山安全反病毒專家表示,該漏洞可能會在近期引發大規模的木馬攻擊,在微軟沒有發布漏洞補丁之前,金山全系列安全軟件不用升級即可自動免疫此類漏洞及相關病毒木馬。
據悉,微軟windows操作系統剛剛被外國病毒作者曝出最新lnk 0day漏洞,并且有實驗性病毒已經在外國開始流行,印度是重災區。目前我國已出現利用該漏洞進行攻擊的木馬。最先發現的兩個樣本釋放ROOTKIT病毒,以著名聲卡廠商Realtek的數字簽名來掩飾病毒文件,致使用戶感染。從理論上說,該病毒可以通過U盤、sd卡、移動硬盤等移動存儲設備進行傳播,對國內數千萬windows操作系統的用戶造成威脅。
對于該0day漏洞,金山安全反病毒專家李鐵軍表示,LNK文件指應用程序快捷方式,一般啟動一個程序的方法是雙擊桌面快捷方式或單擊開始菜單中的快捷方式啟動,而當攻擊者利用此漏洞制作一個特殊的lnk文件,插入U盤、移動硬盤、數碼存儲卡時,病毒就因這個漏洞的存在而被自動執行。
李鐵軍表示,根據這個0day漏洞的特性,理論上利用該漏洞的病毒木馬傳播的最佳途徑應該是USB設備(U盤,移動硬盤,SD等數碼存儲卡)。默認情況下Windows啟動了自動加載和自動播放功能,因此在連接可移動設備(如USB閃存)后Windows會自動運行資源管理器打開U盤。目前這個漏洞正在被廣為應用于傳播惡意軟件,而該漏洞將影響幾乎所有Windows操作系統。
李鐵軍強調指出,以前的U盤病毒大多利用auturun.inf配置自動運行來啟動,而新漏洞的出現又為U盤病毒傳播增加了新的傳播手段,金山毒霸安全實驗室預測近期利用該漏洞進行傳播的U盤病毒很可能大面積爆發。
金山毒霸安全實驗室監測到利用lnk 0day漏洞傳播的病毒樣本,在對這些樣本進行分析時,發現其中有個樣本包含Realtek Semiconductor Corp.的數字簽名,Realtek Semiconductor Corp.是知名的音頻芯片供應商,在主板集成音頻DSP芯片中有很高的市場占有率。金山毒霸安全實驗室的研究人員分析,這種情況可能是該公司的數字簽名被盜。
對于這個利用Windows 快捷方式自動執行0day漏洞的攻擊,金山毒霸安全專家宣稱,只要用戶安裝了金山任意一款安全產品,即可免疫此漏洞。如金山毒霸2011版默認會禁用USB存儲設備的自動播放功能,可免疫U盤病毒,金山毒霸2011的用戶不必擔心這個問題。若已經不幸中了此類病毒,可以使用金山網盾一鍵修復功能進行查殺修復。【編輯推薦】
