¿Es seguro abrir archivos .lnk?

Un .lnk es un pequeño registro Windows Shell Link que le dice a Explorer qué lanzar. Abrir uno de una fuente de confianza está bien, pero un acceso directo de un email, USB o descarga puede apuntar a cualquier ejecutable, script o comando remoto. Trátalo con la misma precaución que el archivo que ejecutaría.

¿Puede un archivo .lnk contener un virus?

El propio contenedor .lnk contiene metadatos, no código ejecutable, pero su ruta de destino, argumentos de línea de comandos y ubicación del icono pueden ser manipulados para lanzar una carga útil maliciosa (Stuxnet y varios CVE han abusado de esto). Inspeccionar el destino, argumentos y directorio de trabajo antes de hacer doble clic es un hábito sensato.

¿Cuál es la diferencia entre un archivo .lnk y un enlace simbólico?

Un .lnk es un Windows Shell Link, un archivo binario de metadatos en el espacio de usuario que solo la shell Explorer resuelve. Un enlace simbólico NTFS o junction es una redirección a nivel de sistema de archivos manejada transparentemente por el SO para cualquier proceso, sin metadatos extra.

¿Por qué un archivo .lnk revela tanto sobre mi máquina?

Los Shell Links opcionalmente incrustan un TrackerDataBlock que contiene el nombre NetBIOS de la máquina y un GUID droid derivado de la dirección MAC, usado por Distributed Link Tracking para encontrar el destino si se mueve. Por eso los archivos .lnk son un pilar del análisis forense digital.

¿Sube este parser mi archivo .lnk?

No. El parser es un crate Rust compilado a WebAssembly que se ejecuta enteramente en tu navegador. Tu archivo nunca abandona el dispositivo y no se envía telemetría.

¿Es seguro abrir archivos .lnk?

Un .lnk es un pequeño registro Windows Shell Link que le dice a Explorer qué lanzar. Abrir uno de una fuente de confianza está bien, pero un acceso directo de un email, USB o descarga puede apuntar a cualquier ejecutable, script o comando remoto. Trátalo con la misma precaución que el archivo que ejecutaría.

¿Puede un archivo .lnk contener un virus?

El propio contenedor .lnk contiene metadatos, no código ejecutable, pero su ruta de destino, argumentos de línea de comandos y ubicación del icono pueden ser manipulados para lanzar una carga útil maliciosa (Stuxnet y varios CVE han abusado de esto). Inspeccionar el destino, argumentos y directorio de trabajo antes de hacer doble clic es un hábito sensato.

¿Cuál es la diferencia entre un archivo .lnk y un enlace simbólico?

Un .lnk es un Windows Shell Link, un archivo binario de metadatos en el espacio de usuario que solo la shell Explorer resuelve. Un enlace simbólico NTFS o junction es una redirección a nivel de sistema de archivos manejada transparentemente por el SO para cualquier proceso, sin metadatos extra.

¿Por qué un archivo .lnk revela tanto sobre mi máquina?

Los Shell Links opcionalmente incrustan un TrackerDataBlock que contiene el nombre NetBIOS de la máquina y un GUID droid derivado de la dirección MAC, usado por Distributed Link Tracking para encontrar el destino si se mueve. Por eso los archivos .lnk son un pilar del análisis forense digital.

¿Sube este parser mi archivo .lnk?

No. El parser es un crate Rust compilado a WebAssembly que se ejecuta enteramente en tu navegador. Tu archivo nunca abandona el dispositivo y no se envía telemetría.

¿Qué es un archivo .lnk de Windows?

Un .lnk es un Windows Shell Link, el pequeño archivo binario creado cuando "creas un acceso directo" a un programa, documento o carpeta. Parece trivial en Explorer. El binario es todo lo contrario. El formato está completamente especificado en [MS-SHLLINK], y una vez que has leído unos cuantos, empiezas a tratar los accesos directos como uno de los artefactos más informativos que produce Windows.

Qué hay dentro

El formato es una cabecera fija de 76 bytes seguida de una serie de secciones opcionales, cada una controlada por un bit en los LinkFlags de la cabecera. En el orden en que un parser las lee:

ShellLinkHeader, flags, los atributos NTFS del destino, tres marcas temporales FILETIME (creación, acceso, escritura del destino vistos cuando se creó el enlace), el comando show-window, el índice del icono y una tecla rápida.
LinkTargetIDList, la lista de ID de shell items que recorre el namespace de Explorer desde una carpeta raíz hasta el destino.
LinkInfo, VolumeID (tipo de unidad, serial, etiqueta), LocalBasePath y CommonNetworkRelativeLink si el destino vivía en un recurso compartido de red.
StringData, NAME_STRING, RELATIVE_PATH, WORKING_DIR, COMMAND_LINE_ARGUMENTS, ICON_LOCATION. Con prefijo de longitud en caracteres, ANSI o UTF-16LE dependiendo del flag IsUnicode.
ExtraData, bloques opcionales, cada uno con una firma de 4 bytes: EnvironmentVariableDataBlock, ConsoleDataBlock, TrackerDataBlock, SpecialFolderDataBlock, ConsoleFEDataBlock, DarwinDataBlock, IconEnvironmentDataBlock, ShimDataBlock, PropertyStoreDataBlock, KnownFolderDataBlock, VistaAndAboveIDListDataBlock.

El TrackerDataBlock es el famoso: lleva el nombre NetBIOS de la máquina de origen y un GUID "droid" cuyos últimos seis bytes son la dirección MAC de la máquina que creó el enlace. Ese único bloque es responsable de una larga lista de victorias públicas de atribución, incluyendo varios informes APT que nombraron la VM de build detrás de una campaña.

Por qué importa

Como un acceso directo registra dónde fue creado y a qué apuntaba, los archivos .lnk son un pilar del DFIR. Revelan unidades extraíbles, archivos eliminados, recursos compartidos de red y la máquina de origen, incluso después de que el destino haya desaparecido hace tiempo. Los tres FILETIMEs de la cabecera son una instantánea de los metadatos del destino en la creación del enlace; combinados con la propia entrada MFT del enlace, anclan tanto "cuándo el usuario vio el destino" como "cuándo el usuario escribió el enlace". Los accesos directos independientes viven por todas partes, Escritorio, Menú Inicio, %APPDATA%\Microsoft\Windows\Recent\, unidades extraíbles, y la misma estructura LNK también forma la carga útil de cada entrada en archivos Jumplist bajo Recent\AutomaticDestinations\ y Recent\CustomDestinations\.

Privacidad

El parser de este sitio es un crate Rust compilado a WebAssembly. El archivo se decodifica en tu navegador. Nunca cruza la red, nada se sube, sin telemetría. Eso importa porque un .lnk de un entorno real filtra el nombre de usuario, hostname NetBIOS, dirección MAC y rutas de documentos de la máquina que lo escribió, campos que generalmente no quieres que crucen una frontera de proveedor.

Lecturas adicionales

La especificación [MS-SHLLINK] de Microsoft, la referencia autoritativa.
Dentro de MS-SHLLINK, el recorrido campo por campo.
Cómo abrir un archivo .lnk, caminos de inspección seguros.
Análisis forense de archivos .lnk, lo que los investigadores extraen.
Malware en archivos LNK, los mismos campos, desde el lado del atacante.
Artefactos hermanos: el parser Jumplist para flujos LNK incrustados, el parser Prefetch y el parser de registro para corroboración.