|
CVE-2010-2568漏洞是Windows Shell LNK文件处理漏洞,对应的Microsoft安全公告是MS10-046。此漏洞影响到补丁发布之前的所有版本Microsoft Windows系统。 LNK文件,也就是快捷方式,其文件结构如下所示:  此结构中的部分字段由文件头中的标志来指是否存在。 Shell32.dll在显示LNK文件的图标时要把它的图标显示出来,整个函数调用过程如下图所示:  对于普通的快捷方式文件,shell32.dll会从图标文件字符串中解析出图标。但对于控制面板中的快捷方式,因为它们没有图标文件字符串字段,shell32.dll是直接从文件偏移0x7A的位置读取图标索引来解析。当这个图标索引为0时,它会调用LoadLibraryW去加载对应的可执行文件来获取图标,由此导致DLL被执行。下面是一个典型恶意样本的截图。  值得注意的是,利用此漏洞的恶意样本通常通过移动硬盘来传播。由于移动硬盘的盘符不固定, 但是快捷方式中的路径必须是绝对路径,因此恶意样本通常会创建多个快捷方式(可能多达26个,每个盘符一个),以便能触发漏洞。 |
|
|
来自: 知识藏园 > 《Kill virus》
