本报讯(记者武晓黎)360安全中心7月17日发布橙色安全警报称,微软刚刚爆出的最新快捷方式自动执行0day漏洞已经被木马团伙大规模利用。一款名为“假面”的木马盗用了知名声卡厂商Realtek的数字签名,轻松绕过并破坏市面上绝大多数主流安全软件后,通过U盘、网页下载等方式利用该0day漏洞疯狂传播。对此微软并未发布补丁。
据360安全专家石晓虹博士介绍,微软快捷方式自动执行漏洞可使一个正常的快捷方式中包含一段可执行代码,影响所有WindowsXP/Vista/Win7平台。“‘假面’木马的厉害之处在于把自己伪装成IE、淘宝、游戏等任意程序的快捷方式,当这个躲在面具后面的木马被下载到文件夹或者桌面时,甚至不需要点击,就可自动运行。除此之外,它还给自己打上了国外著名声卡厂商Realtek被外泄的数字签名,因而可以轻易骗过并破坏市面上绝大多数安全软件。”石晓虹说。更为可怕的是,由于“假面”木马会自动加载带有数字签名的恶意驱动,因此极易通过U盘进行自我传播,这也加剧了该木马的进一步蔓延。一旦感染,即使手动将木马程序清除,重启后木马仍会复活。
对此,石晓虹建议:“用户在使用U盘时可以暂时关闭自动播放功能,可有效防止木马的自动运行,同时开启木马防火墙功能。另外,360安全卫士已紧急升级程序,现可全面拦截、一键查杀‘假面’木马。”