LNK新型態隨身碟病毒 - 分析解決方案

微軟於2010/7/16公佈了一項新的0-day弱點

目前已有病毒利用該弱點透過USB裝置散播

此病毒不 再使用autorun.inf自動執行的方式感染電腦

而是製作一個.lnk類型檔案指向病毒檔案 利用該弱點在系統中執行

因此關閉自動播放功能的電腦仍有中毒的可能性

相關文章及解決方案：

1. Ivanlef0u's Blog CVE-2010-2568 shorcut Lnk + PoC (Google translated to English)
2. Exploitdb Microsoft Windows Automatic LNK Shortcut File Code Execution (PoC by Ivanf0u)
3. Microsoft Security Advisory (2286198) Vulnerability in Windows Shell Could Allow Remote Code Execution
4. Brian Krebs Experts Warn of New Windows Shortcut Flaw
5. InReverse  About TmpHider/Stuxnet #1 by swirl
6. Wilders Security Forums - Rootkit.TmpHider
7. Microsoft Malware Protection Center - The Stuxnet Sting
8. Microsoft Malware Protection Center - WinNT/Stuxnet.A
9. Threatexpert - Win32/Stuxnet.A
10. ESET (Windows) Shellshocked, Or Why Win32/Stuxnet Sux… by David Harley (with special thanks to Juraj Malcho, Aleksander Matrosov and their colleagues)
11. Aleksander Matrosov http://twitpic.com/24z86b "Rootkit.TmpHider is signed with signature of Realtek Corp" http://bit.ly/a1BHaZ" /via @_MDL_ 
12. Sophos Windows shortcut vulnerability with rootkit - detailed video demo 
13. Mitigating .LNK Exploitation With Ariad — Didier Stevens 
14. Windows zero-day attack works on all Windows systems by Chester Wisniewski

Sandbox分析：

 http://www.threatexpert.com/report.aspx?md5=74ddc49a7c121a61b8d06c03f92d0c13

Virustotal：

016169ebebf1cec2aad6c7f0d0ee9026  received on 2010.07.16 11:55:58 (UTC)
http://www.virustotal.com/analisis/743e16b3ef4d39fc11c5e8ec890dcd29f034a6eca51be4f7fca6e23e60dbd7a1-1279281358
Result: 25/41 (60.98%)
a-squared     5.0.0.31     2010.07.16     Trojan-Dropper.Win32.Stuxnet!IK
AhnLab-V3     2010.07.16.00     2010.07.15     Dropper/Win32.Stuxnet
AntiVir     8.2.4.12     2010.07.16     TR/Drop.Stuxnet.D
Avast     4.8.1351.0     2010.07.16     Win32:Trojan-gen
Avast5     5.0.332.0     2010.07.16     Win32:Trojan-gen
AVG     9.0.0.836     2010.07.16     SHeur3.XLI
BitDefender     7.2     2010.07.16     Win32.Worm.Stuxnet.A
Comodo     5446     2010.07.16     TrojWare.Win32.Rootkit.Stuxnet.a
DrWeb     5.0.2.03300     2010.07.16     Trojan.Stuxnet.1
F-Secure     9.0.15370.0     2010.07.16     Trojan.Agent.AQCK
GData     21     2010.07.16     Win32.Worm.Stuxnet.A
Ikarus     T3.1.1.84.0     2010.07.16     Trojan-Dropper.Win32.Stuxnet
Kaspersky     7.0.0.125     2010.07.16     Trojan-Dropper.Win32.Stuxnet.d
McAfee     5.400.0.1158     2010.07.16     Stuxnet
McAfee-GW-Edition     2010.1     2010.07.16     Heuristic.LooksLike.Win32.NewMalware.B
Microsoft     1.6004     2010.07.16     TrojanDropper:Win32/Stuxnet.A
NOD32     5283     2010.07.16     Win32/Stuxnet.A
nProtect     2010-07-16.01     2010.07.16     Trojan.Agent.AQCK
PCTools     7.0.3.5     2010.07.16     Rootkit.Stuxnet
Prevx     3.0     2010.07.16     Medium Risk Malware
Sophos     4.55.0     2010.07.16     Troj/Stuxnet-A
Sunbelt     6591     2010.07.16     Trojan.Win32.Generic!BT
Symantec     20101.1.1.7     2010.07.16     Trojan.Gen
VBA32     3.12.12.6     2010.07.16     Trojan-Spy.0485
VirusBuster     5.0.27.0     2010.07.16     Trojan.DR.Stuxnet.C
Additional information
File size: 517632 bytes
MD5   : 74ddc49a7c121a61b8d06c03f92d0c13


微軟0-day弱點詳細資訊請參考下列網頁

http://www.microsoft.com/technet/security/advisory/2286198.mspx


參考網頁：
http://threatinfo.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_STUXNET.A&Vsect=T
http://contagiodump.blogspot.com/2010/07/cve-2010-2568-lnk-vunerability-stuxnet.html