杀软们现在还在拿公布的PoC和从微软拿到的样本在说事吧,测试的时候只敢在C:\根目录测试,为什么要说RAR里面就会中毒?RAR里面的LNK使用的是系统的默认图标,RAR根本不会费那个事去读取LNK对应文件的图标,自己拿个有图标的压缩就知道,到压缩包里面都会变成系统中默认的图标的,RAR不处理图标,何来“RAR中浏览文件名的时候就自动中招”?

本文来自www.sacour.cn 部分数据可能有错,拒绝口水不要转载。

■原话:http://bbs.pcbeta.com/thread-765866-1-1.html

“利用Lnk漏洞的病毒危害性可以用下面这个例子来展示:你的朋友通过qq或者msn传送一个压缩文件给你,你接收之后,打开压缩包,浏览其中的文件名,以前是几乎没有危险的,因为即使压缩包中有病毒文件,只要你没有点击该文件,是不会中毒的。但利用lnk漏洞的病毒在你打开压缩包浏览文件名的时候就立刻发作了,几乎无法防范。”

本地测试安全:


无图标演示:

Shortcut to.lnk
http://www.virustotal.com/zh-cn/analisis/c3085e649014c6f37ab37b7ec1988070aee9a8b1c2b286aaa64cce27e3b74766-1279768140

而金山演示使用的是ivanlef0u(http://www.ivanlef0u.tuxfamily.org/?p=411)的PoC:

1.Décompressez les fichiers dans ‘C:\’. Lancez un DbgView ou coller un KD à votre VM. (文件解压到C:\,启动DbgView(调试工具)或者内核调试器(KD,Kernel Debugger)来监控你的虚拟机(VM,Virtual Machine))
2.Renommez ’suckme.lnk_’ en ’suckme.lnk’ et laissez la magie de shell32.dll faire le reste.  (把suckme.lnk_重命名为suckme.lnk,然后就在shell32.dll里面做剩下来的事情吧)
3.Regardez vos logs. (看戏去吧)

Ivanlef0u的操作介绍,金山测试的时候连文件名都没改。

即使是suckme.lnk这个,也指定了DLL的位置是C:\DLL.DLL,即使像他说的那样,可以在RAR中执行,请问,如果我是病毒的作者,我该执行什么?

RAR还没解压呢,好吧,就当RAR解压了,但是RAR解压时的路径是TEMP目录下一个随机名目录啊,怎么指定?

实机测试,原始的DLL不知道怎么搞的执行不起来,我换成自己做的DLL了。
LIBMAIN 中只有个MSGBOX "Actived",6,"TEST" 。

图:DLL不在根目录时触发不了(这是废话,LNK指定在C:\DLL.DLL的)


根目录下触发成功,而且连续触发了十次:


图:LNK在其他目录下可以触发成功,前提是DLL.DLL还在C:\


RAR中何来触发一说?