赛维董事长吴显胜:谨防快捷方式“惹祸”

　　为了提高访问效率或操作效率，相信很多人往往会为那些要频繁访问的程序或文件创建快捷方式，并把它们的快捷图标拖放到系统桌面上，日后只需要在桌面上执行双击操作，就能实现快速访问或操作目的。殊不知，以前不起眼的快捷方式，现在竟然被木马病毒程序盯上了，它们强迫系统在解析快捷图标的时候，去自动调用破坏力极强的病毒程序，实现危害系统安全的目的。因此，如果我们日后不对系统的快捷方式倍加小心的话，那么快捷方式迟早会要“惹祸”!
　　
　　快捷方式为什么“惹祸”
　　
　　提到快捷方式，多数人对它的第一“印象”，就是它能帮助用户提高操作效率，因此大家在平时遇到它时，都是持“欢迎”态度。事实也的确如此，许多用户都乐此不疲地在系统桌面上创建各种资源的快捷方式，日后通过双击快捷方式，来实现快速方便启动应用程序或访问文件资源的目的。
　　仔细分析一下快捷方式，我们发现这类文件使用的扩展名一般为“lnk”，它的“身影”大多出现在Windows系统桌面上、快速启动栏上以及系统“开始”莱单中。不同资源的快捷方式，往往会有不同的快捷图标，那么Windows系统为什么会为快捷方式配上不同的快捷图标呢?原来，Windows系统为了能够将快捷方式的图标显示出来，会将图标解析任务派发给系统“she1132.dll”文件；而“shell32.dll”文件在解析快捷图标的时候，会对目标快捷方式的文件格式进行全面分析，包括寻找快捷方式实际所指向的资源，以及寻找目标资源的图标文件路径。由于不同资源的图标文件内容不同，这样Windows系统就能为不同资源的快捷方式分配不同的快捷图标了，最终用户在系统桌面、快速启动栏、“开始”莱单上就能看到形形式式的漂亮图标了，随意单击快捷图标，就能实现自动执行相应操作的目的了。
　　从快捷图标的解析过程来看，系统“shell32.dll”文件需要进行两项操作，一是需要访问快捷方式的真实文件，二是需要访问对应的图标文件；如果恶意用户采用技术手段随意创建一个虚假的“lnk”文件，同时编写一段调用病毒程序的恶意代码来欺骗Windows系统，那么系统文件“shell32.dll”在解析这个虚假的快捷方式时，就会受到虚假的恶意代码控制，去访问一个病毒程序，如此一来病毒就会自动被加载到系统内存中运行了。很显然，如果快捷方式被恶意用户非法利用的话，那么系统文件“shell32，dll”解析快捷图标的过程，也可能是启动运行病毒程序的过程。
　　
　　病毒快捷方式的危害性
　　
　　　恶意用户之所以会利用快捷方式来激活隐藏病毒，主要有两个方面的原因，一是抓住用户对快捷方式毫无戒备的心理，保证木马病毒有较好的隐蔽性；二是抓住系统“shell32.dll”文件解析快捷图标的过程是自动执行的过程，利用这种特性可以保证木马病毒能够拥有良好的触发性。也就是说，隐藏在快捷方式背后的木马病毒不但不会引起用户的怀疑，而且Windows系统桌面或资源管理器在显示快捷图标的时候，操作系统会自动执行病毒、木马程序，不需要用户进行任何操作。
　　很显然病毒快捷方式的危害性是十分巨大的，病毒制作者只要简单地编造虚假的快捷文件，就能把一些破坏力相当强的病毒注入到客户端系统，同时强迫用户利用移动硬盘、数码设备、优盘等使用频率非常高的设备，来传播病毒快捷方式，最终达到快速传播病毒、木马的目的。当这些病毒快捷方式被拷贝到或传播到其他位置时，只要用户登录到系统桌面或进入资源管理器窗口，那么病毒、木马程序就能被自动运行，而不需要用户进行任何操作。一旦这种类型的病毒快捷方式出现在USB设备上，那么只要客户端系统启用了磁盘自动运行功能，那么用户在进行插入USB设备操作时，也就是自动调用运行病毒的时候；同样地，如果病毒快捷方式出现在共享文件夹中，那么任何用户只要通过网络访问目标共享文件夹，那么该用户的客户端系统也会在瞬间遭遇这种病毒的攻击。
　　
　　预防快捷方式“惹祸”
　　
　　由于病毒木马会利用快捷方式漏洞来危害系统安全，并且这种安全漏洞几乎在任何版本的Windows系统中都存在，因此预防快捷方式继续“惹祸”，已经显得刻不容缓了。为了防止病毒利用快捷方式漏洞，在优盘等常见的USB设备中恶意创建快捷方式，实现交叉感染客户端系统的目的，我们可以采取以下保护系统安全：
　　
　　禁止显示快捷图标
　　
　　由于Windows系统桌面或资源管理器在显示快捷方式的时候，病毒可能会“劫持”解析图标的操作；为了防止病毒利用系统自动解析图标的过程来启动运行病毒文件，我们不妨禁止系统显示快捷图标：
　　首先依次单击“开始”、“运行”命令，在弹出的系统运行文本框中，输入字符串命令“regedit”，单击回车键后，打开系统注册表编辑窗口：
　　其次将鼠标定位在该窗口左侧的“HKEY CLASSESROOT”分支上，从目标分支下面依次展开“Inkfi1e＼shellex＼IconH andler”选项(如图1所示)，用鼠标右键单击“IconH andler”选项，从弹出的快捷菜单中执行“导出”命令，将“IconHandler”分支选项下面的键值内容备份保存到一个特定的文件中，例如备份保存到“F：kaaa.reg”文件中，以便日后需要恢复时使用；
　　接着再将“IconH andler”分支选项下面的缺省键值内容设置为空，并重新启动一下计算机系统，这么一来自己的计算机系统日后就不会显示快捷方式的图标了，这样病毒、木马程序就不能非法利用快捷方式的漏洞来恶意攻击本地系统了。
　　不过，一旦使用这种方法，那么计算机系统中的漂亮快捷图标将不复存在，这不但会影响系统界面的美观程度，而且也会影响用户的操作心情，因此这种方法在万不得已的情况下，我们才会考虑使用。
　　
　　停用磁盘自动播放
　　
　　考虑到现在不少木马、病毒都会利用快捷方式漏洞，在移动硬盘或优盘中恶意创建快捷方式，造成木马、病毒在局域网中的多台计算机系统中交叉感染；之所以出现这种现象，主要是计算机系统普遍开启了磁盘自动播放功能，该功能在病毒优盘插入到计算机系统时，会自动激活病毒木马的发作运行。有鉴于此，我们有必要停用计算机系统的磁盘自动播放功能：
　　首先依次单击“开始”、“运行”命令，在弹出的系统运行文本框中，输入字符串命令“gpedit.msc”，单击回车键后，打开系统组策略编辑窗口；
　　其次选中该编辑窗口左侧区域的“计算机配置”节点，并从该节点下面逐一展开“管理模板”、“Windows组件”、“自动播放策略”文件夹，在目标文件夹下面双击“关闭自动播放”组策略选项，弹出如图2所示的选项设置对话框，选中“已启用”选项，同时在“关闭自动播放”下拉列表中选择移动硬盘或优盘选项，再单击“确定”按钮执行设置保存操作，这样任何优盘病毒或与快捷方式漏洞有关的病毒日后都无法攻击本地计算机系统了。
　　当然，上面的设置方法仅在Vista以上版本系统中有效，如果客户端系统使用的是WinXP系统，那么我们必须依次展开“计算机配置”、“管理模板”、“系统”分支，才能找到“关闭自动播放”组策略选项，之后再启用该组策略选项，同时选中所有驱动器或可移动介质。
　　
　　加强快捷方式管理
　　
　　首先不要轻易单击保存或下载访问位于局域网共享文件夹、Web网站、电子邮件中的任何快捷方式文件，说不定目标快捷方式背后就隐藏有破坏力非常大的病毒或木马程序；其次在使用移动硬盘之类的存储设备时，必须做到专盘专用，并且只将它们插入到值得信赖的计算机系统中，同时不能在内、外网中混合使用；第三要开启Windows Update功能，保证计算机系统日后可以及时进行在线安装、更新系统漏洞补丁，避免各种形式的病毒、木马利用快捷方式漏洞攻击系统。需要提醒用户的是，一旦启用了Windows Update功能，系统会不停提示用户进行重启操作，这让完成系统更新任务后需要立即上网访问的用户感到十分麻烦；其实，通过设置可以关闭系统重启提示，在进行设置操作时，先依次单击“开始”、“运行”命令，在弹出的系统运行框中执行“gpedit，msc”命令，打开组策略编辑窗口；定位到“计算机配置”、“管理模板”、“Windows组件”、“Windows Update”分支上，双击“配置自动更新”，选中“已启用”选项(如图3所示)，选中“配置自动更新”处的“自动下载并计划安装”选项，再设置好具体的在线更新时间；之后再进入“Windows Update”分支下“对于已登录用户的计算机，计划的自动更新安装不执行重新启动”的组策略对话框，选中“已启用”选项，这样在线更新会自动完成，不影响用户的正常操作。
　　
　　禁止运行WebClient
　　
　　大家知道，要是局域网中某个共享文件夹中存在病毒快捷方式，那么其他用户在打开这个共享文件夹时，就会自行遭遇病毒攻击；之所以会出现这种现象，主要是用户在进入共享文件夹窗口时，系统WebClient服务会自动显示快捷方式图标，在这个显示过程中病毒就会被激活运行了。为此，在一些特殊的场合下，我们有时需要禁止系统中的Web Client服务启动运行，以防止病毒快捷方式袭击系统：
　　首先依次单击“开始”、“运行”命令，在弹出的系统运行文本框中，输入字符串命令“services.msc”，单击回车键后，打开系统服务列表窗口：
　　其次从服务列表窗口中选中Web Client服务，并用鼠标双击该服务选项，弹出该服务的属性对话框(如图4所示)，在该对话框的“常规”标签页面中检查该系统服务的运行状态，一旦发现该服务已经处于运行状态，我们必须先单击“停止”按钮，以便强行停用该系统服务的运行状态；
　　为了防止该系统服务下次随Windows系统启动自行运行，我们还需要将该服务的启动类型修改为“已禁用”，同时单击“确定”按钮保存好设置操作，这么一来系统WebClient服务就不会协助快捷方式“惹祸”了。
　　当然，这种方法也有明显的缺陷，那就是一旦禁用了WebClient服务，那么计算机系统日后就无法正常处理任何WebDAV请求了，而且那些依赖WebClient服务的其他系统服务可能也无法正常运行了。
　　
　　控制共享访问权限
　　
　　要在计算机系统中安装部署杀毒软件或防火墙软件，来拦截快捷方式的自动下载，同时要对局域网中的共享访问权限进行严格管理，坚决不要将共享访问权限授予普通的用户，以避免共享文件夹成为网络病毒传播的温床。在控制共享访问权限时，可以按照如下操作来进行：
　　首先以系统管理员权限登录进入共享文件夹所在的主机系统，从资源管理器窗口中找到目标共享文件夹，用鼠标右键单击该文件夹图标，从弹出的快捷莱单中执行“属性”命令，展开共享文件夹属性对话框；
　　其次点选“安全”标签，进入共享文件夹的安全标签页面(如图5所示)，在这里先将自己不信任用户的账号权限全部设置为“拒绝”，之后再根据实际访问情况，对信任用户的账号权限分别进行合适设置，尽量不要将完全控制权限授予这些信任用户，最后单击“确定”按钮保存好设置操作，这么一来用户就不容易通过共享访问遭遇病毒快捷方式的攻击了。