微軟公司計劃在周一釋出安全更新,修補Windows處理捷徑檔的安全漏洞。該公司表示,已發現有人利用這個漏洞迅速散播一種毒性很強的病毒。
這個Windows安全漏洞最初被用來散播Stuxnet蠕蟲,透過USB碟快速蔓延。根據微軟兩周前發布的安全公告,這項安全弱點存在於檔案名以「.lnk」結尾的捷徑檔處理程式碼中,各種Windows版本都受影響。這份公告中包含如何迴避問題的資訊。
微軟惡意軟體防護中心(MMPC)部落格公告指出,現已發現有人利用上述的.lnk捷徑安全漏洞,在網路上散播一種稱為「Sality.AT」的病毒,其傳染速度比Stuxnet蠕蟲更快。
這篇安全公告說:「本周有一種病毒家族特別引起我們的注意,這個家族稱為Sality,其中又以Sality.AT毒性特別強。Sality是很毒的病毒株,已知它會感染其他檔案(使檔案在中毒之後難以完全移除)、自我複製到可抽換的儲存裝置、解除安全防護功能,並且下載其他惡意軟體。它也是支系非常龐大的家族,是今年最廣為蔓延的病毒家族之一。」
由於情況嚴重,微軟決定不等到8月10日,也就是下一次例行的Patch Tuesday安全更新發布日,就提先行釋出這項安全漏洞的修補程式。
微軟資深安全回應公關經理Christopher Budd在微軟安全回應中心(MSRC)部落格上撰文說:「過去幾天以來,我們察覺利用這項安全弱點的活動增加。我們深信提前釋出更新最能協助保護本公司的客戶。」
受影響的作業軟體
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 with SP2 for Itanium-based Systems
Windows Vista Service Pack 1 and Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 1 and Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-based Systems Service Pack 2
Windows 7 for 32-bit Systems
Windows 7 for x64-based Systems
Windows Server 2008 R2 for x64-based Systems
Windows Server 2008 R2 for Itanium-based Systems 目前是還沒有在台灣有看到過。
不過既然新聞稿發那麼大並且也有實際的樣本出現了
那就大概提一下
這一個攻擊手法就目前來說也有透過隨身碟
但危害度比以往的AUTORUN.INF和偽裝資料夾要危險多了
同樣轉貼PTT KarasuTW所提供的資料
應變方案:
1. 停止為捷徑檔顯示指定的圖示:
將 HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler 預設值的資料清空
然後重開機或是重啟 explorer.exe
此選項的影響是所有捷徑都會顯示系統內建的統一圖示。
2. 停止 WebClient 服務
將 WebClient 啟動類型改為已停用,並停止 WebClient 服務運作
WebDAV 和所有明示依賴 WebClient 服務的應用程式都將無法運作。
這兩種都是暫時的解決方案
這邊EFIX不會增加項目做處理,因為這只是暫時性方案而已
只是以很多人不喜歡更新這一點來說
勢必需要做一個提示上去就是.
目前手頭上也看到樣本了,感謝AVPCLUB Upside提供 |
收藏
分享
分享
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡
