|
| MS08-067漏洞预警通告(A级) |
| 作者 开开 查看 144 发表时间 2008/10/25 13:30 【论坛浏览】 |
|
10月23日,微软爆出特大安全漏洞,几乎影响所有的Windows系统,强烈建议广大用户下载并安装此补丁。成功利用该漏洞的远程攻击者可能会利用此问题危及基于Microsoft Windows系统的安全并获取对该系统的控制权。据悉,这是微软近一年半以来首次打破每月定期发布安全公告的惯例而发布了该更新。ahpmb 此安全漏洞可能允许远程执行代码,如果受影响的系统收到了特制伪造的RPC请求。在Microsoft Windows 2000 , Windows XP和Windows Server 2003系统,攻击者可以利用此漏洞无需通过认证的运行任意代码。这个漏洞可能被用于制作蠕虫利用。此安全漏洞可以通过恶意构造的网络包直接发起攻击,并且攻击者可以获取完整的权限,因此该漏洞很可能会被用于制作蠕虫以进行大规模的攻击。ahpmb 受影响的操作系统如下:ahpmb Windows XP Professional x64 Editionahpmb Microsoft Windows 2000 Service Pack 4ahpmb Windows XP Service Pack 2ahpmb Windows XP Service Pack 3ahpmb Windows XP Professional x64 Editionahpmb Windows XP Professional x64 Edition Service Pack 2ahpmb Windows Server 2003 Service Pack 1ahpmb Windows Server 2003 Service Pack 2ahpmb Windows Server 2003 x64 Editionahpmb Windows Server 2003 x64 Edition Service Pack 2ahpmb Windows Server 2003 SP1(用于基于 Itanium 的系统)ahpmb Windows Server 2003 SP2(用于基于 Itanium 的系统)ahpmb Windows Vista 和 Windows Vista Service Pack 1ahpmb Windows Vista x64 Edition 和 Windows Vista x64 Edition Service Pack 1ahpmb Windows Server 2008(用于 32 位系统)ahpmb Windows Server 2008(用于基于 x64 的系统)ahpmb Windows Server 2008(用于基于 Itanium 的系统)ahpmb Windows 7 Beta(用于 32 位系统)ahpmb Windows 7 Beta x64 Editionahpmb Windows 7 Beta(用于基于 Itanium 的系统)ahpmb ahpmb 二、定级依据ahpmb 根据安天应急处理有关条例中“遭遇到能远程主动发起针对主流桌面操作系统的默认开放端口的扫描,并能对有漏洞直接获得系统权限的”和“漏洞可以被利用用以作为蠕虫的主动传播机制的”两标准,安天将本次应急响应级别直接定级为A级。ahpmb 这是安天最近1年来的首次A级预警,并已经向有关部门和自身用户进行了通报。ahpmb 下列事项需要被关注:ahpmb 1、在微软发布补丁之前攻击已经被少量捕获。ahpmb 2、这是微软近1年来,首次打破每月定时补丁发放机制,实时发放补丁。ahpmb 3、溢出代码在补丁发放日已经公开。ahpmb 4、当天已经有应急组织捕获到有关样本。ahpmb 5、已经在较长的时间里没有类似机制漏洞出现,目前各应急组织、运营商、用户似准备不足。ahpmb ahpmb 三、未来趋势研判ahpmb 鉴于形势的发展,我们作出如下估计,在整体趋势上。ahpmb 可能造成病毒感染数量的显著上升。ahpmb 可能导致盗号窃密事件的显著上升。ahpmb 可能短时间内造成傀儡主机数量的增长。ahpmb 可能批量产生新的僵尸网络体系。ahpmb 可能关联造成网络探测、扫描、DDoS攻击事件的增加。ahpmb 相关傀儡主机不排除被用于垃圾邮件的传播ahpmb 由于服务器系统相关防护比较严格,受到的影响相对较小,其直接攻击可能会带动挂马事件的小幅上升,但不会有重大影响。其对挂马的关联影响可能主要表现在攻击者可能在短时间内获取更多的探测节点,从而找到更多的可注入WEB节点。ahpmb 在地域形式上,我们认为中国大陆问题将比欧美更为严重,依据如下:ahpmb 国内用户目前使用系统为受该漏洞影响版本比率远高于欧美用户。ahpmb 由于受到windows黑屏事件影响,部分用户可能会关闭补丁升级机制。ahpmb 中国大量使用的一些盗版定制系统,破坏了windows系统的一些内建安全机制。ahpmb ahpmb 四、处置建议ahpmb 安天已经于第一时间发布了《MS08-067网管简易处置指南》,用于企业网络、ISP网络管理员调整策略,安天面向网管和终端用户升级了《Windows系统紧急安全配置指南》(PDF手册下载),根据该手册配置节点,该漏洞并不难以防范。ahpmb ahpmb MS08-067样本关联性分析报告ahpmb 样本来源:用户上报 ahpmb 样本MD5名:ahpmb dc3fdfde66fffb6cfbec946a237787d8 n1.exe 397,312 字节ahpmb f173007fbd8e2190af3be7837acd70a4 n2.exe 397,312 字节ahpmb 3ee354cc8b63b8849b28e6f376f2b263 n3.exe 397,312 字节ahpmb 6c3e53864541bb13fa7853f7b580b807 n4.exe 397,312 字节ahpmb 24cd978da62cff8370b83c26e134ff4c n5.exe 397,312 字节ahpmb 86d75ae361637a8f9114bb3a40f710d3 n6.exe 397,312 字节ahpmb ee70f981514803e1fb4e6b65f492a56d n7.exe 397,312 字节ahpmb 8d66f28d028a4838d09ce4b91d35b7cb n8.exe 397,312 字节ahpmb 477aac8d472a7bea8b906718a2f50c67 n9.exe 397,312 字节ahpmb d65df633dc2700d521ae4dff8c393bff.exe 417,792 字节ahpmb 衍生文件名均为sysmgr.dll,大小均为336,384 字节,对应MD5如下:ahpmb 70f1114f1bc77d860fc1d37489c5f599ahpmb 1cdc67b1d55e9a2d30c0dba193375c11ahpmb d14f812fa974818121eaa043d9e33c99ahpmb c2c271b34dbaf91e4f54a17bbb352178ahpmb 06fbcf231d6db6e97d4dba5251252658ahpmb 768b0f2a83075b77889fe3732f504ac0ahpmb c7e02aa2ea29392641a6d800aa3aba03ahpmb d37f21cfea4717e73b58292c541c850fahpmb 969b4c98a4570bbdc4299de353806459ahpmb 969b4c98a4570bbdc4299de353806459ahpmb 经行为分析机的自动分析报告可以总结出该批样本行为特征相同,故以6c3e53864541bb13fa7853f7b580b807 n4.exe为样本,给出分析报告。样本为木马类,没有自动传播功能。ahpmb ahpmb ahpmb ahpmb ahpmb Trojan-Spy.Win32.Gimmiv.a分析ahpmb 病毒标签 ahpmb 病毒名称: Trojan-Spy.Win32.Gimmiv.aahpmb 病毒原名: n2.exeahpmb 病毒类型: 木马间谍类ahpmb 文件 MD5: d65df633dc2700d521ae4dff8c393bffahpmb 公开范围: 完全公开ahpmb 危害等级: 3ahpmb 文件长度: 417,792 字节ahpmb 感染系统: Windows98以上版本ahpmb ahpmb ahpmb ahpmb 病毒描述ahpmb ahpmb 该病毒为木马类,属间谍软件。病毒运行后衍生病毒文件sysmgr.dll到系统目录%system%\wbem,修改注册表,创建服务,以达到随机启动的目的,通过cmd.exe调用net stop停止自身服务,创建并调用批处理文件scm.bat删除自身。病毒衍生文件sysmgr.dll注入到系统进程svchost.exe中,初始化后读取并解析程序尾部相关配置,如不成功则结束,成功则会依次检测并记录系统中是否存在指定的反病毒软件,依次检测并记录当前系统版本信息,采集系统信息及用户敏感信息后,会将以上收集到的信息发送到特定的网站。ahpmb ahpmb ahpmb ahpmb 行为分析ahpmb ahpmb 本地行为ahpmb ahpmb 1、文件运行后会释放以下文件ahpmb %system%\wbem\sysmgr.dllahpmb ahpmb 2、新增注册表ahpmb [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysmgr\Parameters]ahpmb 注册表值: " ServiceDll "ahpmb 类型: REG_EXPAND_SZahpmb 值: "C:\WINDOWS\system32\wbem\sysmgr.dll"ahpmb 描述:该文件路径为服务调用路径,可通过此服务达到随机启动的目的。ahpmb ahpmb 3、创建服务,以达到随机启动的目的:ahpmb 服务名称:sysmgrahpmb 显示名称:System Maintenance Serviceahpmb 可执行文件的路径:C:\WINDOWS\System32\svchost.exe -k sysmgrahpmb 启动类型:自动ahpmb ahpmb 4、创建并调用批处理文件删除自身。ahpmb ahpmb :Repeat 1ahpmb Del "病毒路径文件名"ahpmb if exist "病毒路径文件名" goto Repeat 1ahpmb Del "%Temp%\CMWLPEPE.bat"ahpmb ahpmb 5、病毒的衍生文件sysmgr.dll注入到系统进程svchost.exe中,初始化后读取并解析程序尾部相关配置,如不成功则结束,成功则会依次检测并记录系统中是否存在指定的反病毒软件:ahpmb Avpahpmb Symantecahpmb Trendmicroahpmb Kingsoftahpmb Risingahpmb Microsoft onecare protectionahpmb Jiangminahpmb Bitdefenderahpmb ahpmb 6、依次检测并记录当前系统版本信息:ahpmb Windows XPahpmb Windows Vistaahpmb Windows 2000ahpmb Windows 2003ahpmb ahpmb 7、采集系统信息及用户敏感信息:ahpmb 当前系统用户名ahpmb 主机名ahpmb 网卡信息ahpmb 组件安装列表ahpmb 系统补丁信息ahpmb MSNPassport(若未发现avp则采集)ahpmb IE保存的密码(若未发现avp则采集)ahpmb 用户共享文件夹中文件列表ahpmb ahpmb 网络行为ahpmb ahpmb 将采集到的信息发送到特定的网站(最多尝试12次):ahpmb http://59.106.145.**/test9.php?abc=2?def=2ahpmb 注:abc数值为1-9,def数值为1-5。ahpmb 其编号对应用户的反病毒软件安装情况和系统版本信息ahpmb (已失效)ahpmb ahpmb 注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。ahpmb %Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量ahpmb %Windir%\ WINDODWS所在目录ahpmb %DriveLetter%\ 逻辑驱动器根目录ahpmb %ProgramFiles%\ 系统程序默认安装目录ahpmb %HomeDrive% = C:\ 当前启动的系统的所在分区ahpmb %Documents and Settings%\ 当前用户文档根目录ahpmb ahpmb ahpmb ahpmb 清除方案ahpmb ahpmb 1、使用安天防线可彻底清除此病毒(推荐)。ahpmb ahpmb 2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。ahpmb (1) 关闭病毒服务:ahpmb Sysmgrahpmb (2) 删除病毒文件:ahpmb %system%\wbem\sysmgr.dll |
| 序号 | 评论者 | 共有评论 0 【论坛浏览】 【发表评论】 | 评论时间 |
| 当前无任何评论,或评论已被禁止显示 | |||
共有评论数 0 每页显示 10
|
|||
 |
紧急求救!!!!! |
| |
[图文] 反病毒木马辅助工具... |
 |
[求助] 无法进入系统 |
| |
[讨论] 为什么系统的时间老... |
| |
[求助]系统核心服务程序6和... |
| |
[求助] 开机后瑞星杀毒软件... |
| |
[已解决] [求助]跪求如何清... |
| |
每次开机都弹出三个网页对... |
| |
[求助] 帮看下扫描 |
| |
反病毒可能需要用到的方法... |
