看一眼就中毒,微软快捷方式漏洞解决方法

微软近日爆出了快捷方式自动执行高危Oday漏洞(简称快捷方式漏洞)，该漏洞涉及微软XP、VlSta、Win7等主流操作系统，目前已发现木马利用该漏洞通过U盘、移动硬盘以及手机等USB设备传播病毒。专家称，利用该漏洞的快捷方式“看一眼就中毒”，危害极大，而且由于中国大多数用户都使用美化版的WindOW$，因此该漏洞将在很长时间内在国内存在。

快捷方式漏洞是什么

快捷方式我们很熟悉，大多数情况下我们都是双击程序的快捷方式，再由快捷方式启动相应程序的。快捷方式的扩展名为lnk，此类文件多存在于桌面(如图1)、“开始”菜单、快速启动栏等。

为了增加可视性，快捷方式都会配上图标，Windows为了将这些漂亮的图标显示在快捷方式上，会派发一个任务给“Shell32．dU”去完成快捷方式图标的解析工作。在"Shell32．dU”的解析过程中，会通过快捷方式的文件格式去逐个解析：首先找到快捷方式所指向的文件路径，接着找到快捷方式依赖的图标资源。这样Windows桌面和开始菜单上就可以看到各种漂亮的图标，我们点击这些快捷方式时，就会执行相应的应用程序。

快捷方式漏洞就是利用了系统解析的机制，攻击者首先会构造一个特殊的Ink文件(快捷方式)，然后再构造一串程序代码来骗过操作系统。当Shell32．(ul解析到这串编码的时候，会认为这个快捷方式依赖一个系统控件(dU文件或exe文件，如图2)，于是将这个系统控件加载到内存中执行。如果这个系统控件就是病毒，那么Windows在解析这个lnk文件时，就把病毒激活了。病毒如何利用快捷方式漏洞传播

前面我们说过，Windows会派发一个任务给“Shell32．dll”去完成快捷方式图标的解析工作，需要强调的是这个任务是自动执行的，也就是说，一当资源管理器(包括系统桌面等)或类资源管理器显示快捷方式时，Windows就会自动执行该任务，因此快捷方式漏洞具有非常好的触发性，用一句话概括就是“看一眼就中毒”。 　 见于该漏洞的这种特性，病毒传播者会精心构造一个特殊的Ink文件和一个Ink调用的病毒文件，通过u盘、移动硬盘、数码存储卡复制传播这些文件，也可以将这些快捷方式和病毒文件打包在正常程序的压缩包中。当这些快捷方式和病毒文件被复制到或解压到目标位置，用户使用资源管理器等软件显示时，不需要其它任何操作，病毒程序就会被立即执行。(如图3)

如果病毒保存在uSB存储器上，对于多数启用了u盘自动运行功能的电脑，插入u盘就可中毒。另外，若局域网的共享文件中存在这样的文件，其它电脑访问这些共享文件夹时也会立即中毒。

有报道称，360安全中心前几天截获了“假面”木马样本，经分析，该木马正是利用了快捷方式漏洞，在U盘等各种USB设备中创建恶意快捷方式，从而使木马在不同电脑间交叉感染。受快捷方式漏洞影响的用户

微软官方漏洞公告说，Windows XP以后的所有操作系统(包括Windows Vista、Windows7、Windows Server 2003和WindowsServer 2008的各个版本)均受此影响。这个漏洞是前几天被发现的，到下一个微软的例行漏洞修复日，还有2．3周的时间。由于中国用户大量使用美化版的盗版Windows，即使微软了补丁，这些盗版windows可能由于打补丁后图标显示不正常而拒绝使用该补丁，因此有专家称，在中国该漏洞可能会长期存在。

微软防范快捷方式漏洞的建议

到笔者发稿前，微软都没有公布具体将于何时修复漏洞，不过微软已针对该漏洞了安全说明，建议广大网民尽快按如下方式处理。

1．关闭快捷方式图标的显示

当显示快捷方式时，Windaws会自动解析快捷方式的图标，因此关闭快捷方式图标的显示，可以避免病毒被激活。

a，在“开始―运行”中输入“regedit．eye”。打开注册表编辑器。

b．定位到[HKEY_CLASSEs―ROOT|lnk~e＼shellex|IconHandler]。

c．右键单击IconHandler，选择“导出”，备份该分支为“IconHandlerbak．reg"，然后将该项的默认键(如图4)修改为空。

d．重启“explorer．exe"，或者重启电脑即可

此种方法虽然会在一定程序上避免中毒。但它使你的Windows界面变得奇丑。因为一个个漂亮的桌面图标和开始菜单图标全都不见了，故不推荐使用这种方法。

2．关闭WebCIient服务

WebClient服务是Windows用于共享资源的服务，如果共享文件夹存在使用该漏洞的快捷方式，当用户访问这些文件夹时，你的电脑就会中招，因此建议个人电脑关闭该服务。

a．在“开始一运行”中输入"Services．msc"，打开“服务”控制面板。

b．找到WebC~ent服务，如果其正在运行，请先将其关闭，之后修改启动类型为“已禁用”(如图)。此方案所带来的影响：WebDAV请求将不会被传输，另外任何依赖于WebCHent的服务都会受到影响。

3．关闭U盘自动播放

a．在“开始一运行”中输入“gpedit．msc”，打开组策略窗口。

b．定位到“在计算机配置一管理模板一系统”(如图6)。

c．双击“关闭自动播放”，在“设置”选项卡中选“已启用”选项，“关闭自动播放”选择“所有驱动器”即可。(如图7)

关闭U盘自动播放可以避免插上U盘即中毒，但不能排除手动查看文件带来的风险。

全面做好快捷方式漏洞的防范工作

从上面的描述可以看出，微软的建议并不能完全防范快捷方式漏洞带来的危险，因此，要保护电脑的安全，防洪快捷方式漏洞带来的危害，还需全面做好快捷方式漏洞的防范工作。

1．使用移动存储设备时务必小心，只可将此类设备与来源可信的计算机相连。

2．不要下载或点击保存在网络共享、Web或者通过电子邮件发送的Ink文件。

3．网络管理员应当拦截下载Ink文件，同时加强局域网共享权限的管理，关闭不受控的完全共享，避免病毒文件在局域网共享文件夹中传播。

4．微软官方更新之后，用户须立即使用Windows Update或者安全软件安装补丁。