投票
标题:比熊猫烧香更可怕:光标漏洞病毒惊现!
grape0915 (grape)
万物创造者
Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9
自己玩


论坛达人  百目惠识  
UID 6757
精华 7
积分 253264
帖子 8391
狼毛 507482 根
阅读权限 110
注册 2005-8-24
来自 canton
状态 离线
发表于 2007-4-3 16:38 资料 短消息  加为好友 
比熊猫烧香更可怕:光标漏洞病毒惊现!

出处:PConline[ 2007-04-03 09:16:33 ]  作者:江民

  2007年3月31日,江民公司反病毒中心监测到,一只新的蠕虫病毒“光标漏洞”(I-Worm/MyInfect)正利用微软Windows系统ANI文件处理漏洞疯狂传播,反病毒中心已监测到多个网站正在传播该病毒。

  江民反病毒专家介绍,“光标漏洞”蠕虫自我传播能力很强。与“熊猫烧香”和威金蠕虫类似,该蠕虫会感染正常的可执行文件和本地网页文件,下载大量木马程序。除此之外,该蠕虫还能够利用自带的SMTP引擎通过电子邮件传播。最令人担心的是,目前病毒利用的微软ANI文件处理漏洞尚无官方补丁,江民反病毒专家担心一场比“熊猫烧香”更可怕的疫情可能会随时发生。

  3月30日,江民反病毒中心发布紧急安全警报,一些恶意网站正在通过Windows操作系统一个新的安全漏洞(ANI漏洞)传播木马病毒。Windows在处理动态图标文件时存在严重隐患,利用此漏洞,黑客可以通过制作特殊的ANI文件进行远程攻击。可能的攻击方式包括编写恶意网页或发送恶意电子邮件,用户一旦浏览即可执行黑客指定的任意代码。

  微软公司于当地时间3月29日确认了这个新漏洞并开始调查工作。目前没有针对该漏洞的补丁程序。在报告发布后的第二天,利用该漏洞的蠕虫病毒“光标漏洞”(I-Worm/MyInfect)即出现在互联网上。

  江民反病毒专家分析,“光标漏洞”蠕虫的大小为13K左右,病毒运行后,会复制自身到下面目录:%SysDir%\sysload3.exe

  并添加注册表键值:

  HKCU\Software\Microsoft\Windows\CurrentVersion\Run

  "System Boot Check"="%SysDir%\sysload3.exe"

  这样,病毒就可以随Windows系统启动自动运行。

  病毒会感染本地磁盘和网络共享目录的正常可执行程序。并感染本地磁盘和网络共享目录的多种类型(.HTML .ASPX .HTM .PHP .JSP .ASP)网页文件,植入利用ANI文件处理漏洞的恶意代码。

  “光标漏洞”病毒除了具备“熊猫烧香”所有的传播特征外,还可以通过电子邮件传播,病毒邮件特征如下:

  发件人: i_love_cq@sohu.com

  主题:你和谁视频的时候被拍下的?给你笑死了!

  正文:

  看你那小样!我看你是出名了!

  你看这个地址!你的脸拍的那么清楚!你变明星了!

  ttp://macr.microfsot.com//134952.htm
  病毒还会复制自身到各逻辑磁盘盘根目录下,并创建autorun.inf自动播放配置文件。双击盘符即可激活病毒,造成再次感染。这点与“熊猫烧香”通过U盘激活自身从而“死灰复燃”的特征如出一辙。

  “光标漏洞”还会修改系统hosts文件,屏蔽多个网址。这些网址大多是以前用来传播其他病毒的站点。

  江民反病毒专家介绍,目前“光标漏洞”蠕虫已经产生了4个变种,针对该病毒及其变种,江民杀毒软件已经紧急升级了病毒库。江民KV系列用户请立即升级到4月2日病毒库,即可有效查杀所有变种。此外,专家再次提醒,用户上网时务必开启“系统监测”和“网页监控”功能,以免遭病毒侵害。

 顶部
低调
苍之风云
Rank: 4Rank: 4Rank: 4Rank: 4


UID 14440
精华 2
积分 775
帖子 583
狼毛 0 根
阅读权限 30
注册 2006-4-20
状态 离线
发表于 2007-4-3 17:08 资料 短消息  加为好友 
微软已经发表声明,明天就会出官方补丁,到时下了打一个就好了!

 顶部
jojojo2
蕴含的太阳
Rank: 5Rank: 5Rank: 5Rank: 5Rank: 5


UID 11030
精华 10
积分 2671
帖子 1560
狼毛 0 根
阅读权限 50
注册 2006-1-13
来自 上海
状态 离线
发表于 2007-4-4 08:18 资料 短消息  加为好友 
前几天刚打好

补丁下载(非官方) http://dl.360safe.com/AniPatch.rar

该补丁安装后会自动重新启动系统
安装前先保存好您的工作
以防重要信息丢失 (第2版——解决Win2000安装出错问题。360安全卫士实时保护若提示有启动项AppInit_DLLs - anifix1.dll 请点“允许”)

Microsoft Windows是微软发布的非常流行的操作系统。
Microsoft Windows在处理畸形的动画图标文件(.ani)时存在缓冲区溢出漏洞,
远程攻击者可能利用此漏洞控制用户机器。
Microsoft Windows在处理畸形文件(.ani)时没有正确地验证ANI头中所指定的大小,导致栈溢出漏洞。
如果用户受骗使用IE访问了恶意站点或打开了恶意的邮件消息的话,
就会触发这个溢出,导致执行任意代码。
请注意Windows资源管理器也会处理一些文件扩展名的ANI文件,如.ani、.cur、.ico等。

受影响系统;  Microsoft Windows Vista 所有版本
 Microsoft Windows XP 所有版本
 Microsoft Windows Server 2003 SP1
 Microsoft Windows Server 2003
 Microsoft Windows 2000 所有版本

目前国内外的很多网站都开始利用该漏洞传播恶意软件及盗号木马、蠕虫病毒
由于该漏洞的多个版本的利用程序使用了很多技巧
因此会绕过绝大多数杀毒软件、防漏洞软件以及主动防御软件使其失效
这样对用户机器产生极大危害
一旦没有补丁的机器打开了包含恶意代码的网站或邮件
病毒或恶意程序就会立即悄悄在后台运行
在没有任何反应的情况下使用户的机器中上盗号木马、恶意广告软件、蠕虫病毒等等


此补丁是非官方组织EEYE开发的针对此漏洞的补丁
经测试该补丁可很好的解决该漏洞引发的问题
建议您安装此补丁以防止恶意程序危害您的系统


================================================
360安全卫士,彻底查杀各种流氓软件,全面保护系统安全,并赠送正版卡巴斯基V6.0 最新免费下载:http://www.360safe.com


本帖最近评分记录
grape0915   2007-4-4 10:12  积分  +3   感谢分享
 顶部
 



当前时区 GMT+8, 现在时间是 2024-11-24 19:11
苏ICP备2024131517号

Powered by Discuz! 5.5.0 © 2001-2007
Processed in 0.016503 second(s), 9 queries, Gzip enabled

清除 Cookies - 联系我们 - 狼窝 - Archiver - WAP