七月教育网网络运行正常，无重大安全事件发生。网上招生工作已经顺利展开，期间网络运行正常，未发生与网上招生有关的安全攻击事件。

　　近期进入高校假期，各类安全投诉事件数量有所减少。通过网内的监测系统统计，网页挂马数量依然较多。

病毒与木马

　　由于近期微软爆出一个快捷方式LNK文件自动执行文件的0day漏洞，使得利用移动存储介质（如U盘、移动硬盘等）进行传播的病毒数量有所增多。这类病毒有别于传统的U盘病毒利用系统对即插设备自动播放的功能进行传播的方式，它直接利用了windows的shell会自动运行快捷方式LNK文件的漏洞进行传播 。因此简单的关闭系统的自动播放功能并不能有效的防范此类病毒，由于漏洞的存在，用户只要使用资源管理器查看了包含病毒的介质或文件目录就会中毒。此外这类病毒中的一些变种还盗用了声卡厂商realtek的数字签名并将该签名应用在木马的驱动程序中，这个伪造的数字签名可能使得一些防病毒软件基于行为检测查杀未知病毒的功能失效，因为防病毒软件在读取到数字签名后会认为是正常的驱动程序从而对木马的一些危险操作放行。由于厂商还没提供该漏洞的补丁程序，用户暂时只能依靠防病毒软件来防范此类病毒的传播。需要额外提醒用户注意的是，这类利用的移动存储介质并不仅仅包括U盘和移动硬盘，它可以通过任何插接到电脑上的可读写存储介质（如：MP3、智能手机、数码相机等）进行传播。

2010年06月～2010年07月教育网安全投诉事件统计

近期新增严重漏洞评述

　　七月微软例行发布了四个安全公告，涉及windows系统、office软件中的多个漏洞，这其中也包括上个月暴露出来windows 帮助和支持中心绕过白名单限制0day漏洞的补丁程序。用户应该尽快下载补丁程序安装。在微软发布其七月份安全公告后不久，一个windows快捷方式LNK文件自动执行程序的0day漏洞又被公布出来，并很快被利用来传播病毒木马。目前厂商还未针对该漏洞发布补丁程序，用户只能利用一些临时措施来减轻漏洞的风险并使用防病毒软件来防范病毒的传播。除微软发布了例行安全公告外，一些第三方软件也发布了相应的安全公告修补多个产品自身的安全漏洞，同样需要引起用户关注，它们是：

　　Firefox发布最新版本修补多个安全漏洞；
　　Oracle 2010年7月更新修复多个安全漏洞；
　　Adobe Reader最新版本修补多个安全漏洞。

　　以下是近期需要用户特别关注的漏洞：

　　Windows快捷方式LNK文件自动执行文件漏洞（0day）

　　影响系统：

　　Microsoft Windows XP sp3
　　Microsoft Windows vista
　　Microsoft Windows Server 2003 SP2
　　Microsoft Windows Server 2008
　　Microsoft Windows 7

　　漏洞信息：

　　Windows支持以快捷方式的形式调用程序，快捷方式是用图标表示的文件或程序的链接。 如果您双击快捷方式，文件或程序打开。 快捷方式是将常用文件保持在单一易访问位置（例如文件夹或桌面）的常用机制。 快捷方式以具有 LNK 扩展名的文件形式实现。Windows系统在处理LNK文件中所包含内容的机制上存在漏洞，当系统尝试加载快捷方式的图标时，Windows Shell 会错误地验证快捷方式的特定参数，从而导致程序被直接运行。攻击者可以通过在LNK文件中植入恶意内容使用户在浏览目录时执行指定的恶意代码，用户只要浏览了包含恶意LNK文件的U盘、网络共享、本地磁盘都会导致恶意代码的执行，因此攻击者可以很方便地利用此漏洞传播恶意代码。

　　漏洞危害：

　　该漏洞是0day漏洞，目前已经有大量的木马病毒利用该漏洞进行传播。需要提醒用户注意的是这个漏洞不同于传统U盘病毒利用系统自动传播的原理，它利用的是windows shell的漏洞，如果系统允许自动运行功能的话，那用户插上带病毒的U盘后病毒就将自动运行，即使用户关闭了系统上的自动运行功能，当用户点击查看U盘时（无需用户直接点击病毒链接程序）也会导致病毒被自动运行。因此该漏洞实际上可以在移动存储介质、光盘、网络共享、甚至是WEBDAV等所有能显示快捷方式的地方被利用。

　　解决办法：

　　目前厂商针对该漏洞发布了相应的安全通告，但是还未发布补丁程序，建议您随时关注厂商的动态：

　　http://www.microsoft.com/china/technet/security/advisory/2286198.mspx

　　在没有补丁程序前，您可以使用以下临时方法来减轻漏洞带来的风险：

　　关闭所有快捷方式图标显示功能，方法如下（注意：这个方法可能导致系统上所有的快捷方式图标都无法正常显示）

　　1. 单击“开始”，单击“运行”，在“打开”框中键入 Regedit，然后单击“确定”。
　　2. 找到并随后单击下列注册表项：
　　HKEY_CLASSES_ROOT\lnkfile\shellex
　　\IconHandler
　　3. 单击“文件”菜单并选择“导出”。
　　4. 在“导出注册表文件”对话框中，键入 LNK_Icon_Backup.reg，然后单击“保存”。
　　注意 默认情况下，此操作将在“我的文档”文件夹中创建此注册表项的备份
　　5. 在注册表编辑器的右窗口中选择值（默认）。 按 Enter 编辑注册表项的值。 删除值，以便值为空白，然后按 Enter。
　　6. 找到并随后单击下列注册表项：
　　HKEY_CLASSES_ROOT\piffile\shellex
　　\IconHandler
　　7. 单击“文件”菜单并选择“导出”。
　　8. 在“导出注册表文件”对话框中，键入 PIF_Icon_Backup.reg，然后单击“保存”。
　　9. 注意 默认情况下，此操作将在“我的文档”文件夹中创建此注册表项的备份。
　　在注册表编辑器的右窗口中选择值（默认）。 按 Enter 编辑注册表项的值。 删除值，以便值为空白，然后按 Enter。
　　10.注销所有用户并再次登录，或重新启动计算机。

安全提示：

　　为防范近期的漏洞和病毒，请用户执行以下操作：

　　1. 及时安装系统及应用软件（包括第三方软件）的补丁程序；

　　2. 安装正版的杀毒软件并及时更新病毒库；

　　3. 暂时关闭系统的自动播放功能；

　　4. 使用移动存储介质时不要直接点击打开盘符，请先用右键点击盘符并选择运行其中的防病毒扫描选项(前提是您的系统上安装有正版防病毒软件)，待防病毒软件查杀完成后再点击打开相应的盘符。

　　（作者单位为CERNET国家网络中心应急响应组）

文章来源：《中国教育网络》杂志2010年8月刊