 |
| 等 级:高级居民 |
| 经 验 值:338 |
| 魅 力 值:696 |
| 龙 币:-39 |
| 积 分:471.5 |
| 注册日期:2003-06-01 |
| |
|
|
|
八月病毒Sobig 霸王虫称王,9/11 提防新变种
八月病毒呈现多重快速散播攻击、重复爆发趋势
· 趋势科技共发出24份病毒警讯,包括两个中度警戒、两个高度警戒
· 八月主要病毒列表
· 重大网络型病毒要犯:冲击波病毒MSBlast.A
· 冲击波变种MSBlast.D:假好心清除 Blast.A,再度酿下大祸
· Sobig.F:"史上最快速的电子邮件蠕虫", 通过特洛伊木马程序与病毒撰写者联机,
进行大量散播
· Sobig.F 9/10 自动失效,提防 Sobig.G 9/11 上阵
· 趋势科技八月病毒排行: Sobig 居最高感染率
· 病毒呈现大规模组织式攻击,笔记本易成为漏网之鱼
—————————————————————————————————————————————
趋势科技共发出24份病毒警讯,包括两个中度警戒、两个高度警戒
三个威力强大的计算机病毒在短短八天的时间,把八月份的病毒活动激增到最高峰,造成史无前例、同时联合三个大规模之病毒爆发,影响全世界计算机使用者甚巨。冲击波病毒MSBlast.A、冲击波变种MSBlast.D以及霸王虫病毒Sobig.F 使各个企业的网络反应不及,不但造成了巨大的成本损失,且高度挑战着信息安全提供者与相关网络机构,还增加了IT人员沉重的负担,以及上百万的中毒企业与一般计算机使用者的不便。同时,许多小型变种及一些低危险度病毒也发生在此月份,趋势科技光在八月至少发布了24份病毒警讯,包括两个中度危险度的黄色警戒 (Sobig.F及先前的Mimail.A病毒)、两个高危险度的红色警戒冲击波病毒(MSBlast.A、MSBlast.D),所有最新的病毒报告可以在以下网址查讯:该网址不再展示
八月主要病毒列表
病毒名称 日期 危险程度 病毒描述
Mimail.A米虫
(同 JS_CBASE) 8/1 中度 电子邮件ZIP附文件的病毒(包括HTML与Win32 EXE 档案),利用Internet Explorer 及Outlook Express的弱点,让恶意程序作者可以任意在被感染的计算机端执行任何程序代码
MSBLAST.A
冲击波病毒
(a/k/a Blaster, LovSan) 8/11 高度 为网络型病毒,利用Windows NT, 2000, XP 系统的RPC DCOM 缓冲区溢位弱点,试图在8月16日以分布式阻断服务(DDoS)手法攻击微软的Windows Update网站
RPC SDBOT 8/11 低度 利用RPC DCOM缓冲区溢位弱点的蠕虫
MSBLAST.B.C 8/13 低度 次要的变种
HKTL_DCOM.Y 8/14 低度 透过RPC DCOM缓冲区溢位弱点以对远程计算机执行主控台指令的骇客工具
MSBLAST.D
冲击波病毒变种 8/18 高度 如同Msblast.A的散播手法,不过却以"假好心"姿态呈现,先是删除先前的病毒并自动帮系统更新微软的更新文件,但几天的时间却造成更甚于Msblast.A的网络灾害
PE_DUMARU 利用Alternate Data Stream (ADS)感染EXE执行档,同时会植入特洛伊病毒档案,让蓄意破坏者远程操控被感染的系统,并启始阻断服务(DoS)攻击其它计算机
SOBIG.F
霸王虫病毒 8/19 中度 历史上最快的电子邮件传播病毒,此第六个变种病毒很明显地想制造一群受病毒作者所控制的计算机,而先前的病毒版本则透过下载特洛伊的后门代理程序,可能会造成大量无法追踪的垃圾邮件或其它潜在的滥用
重大网络型病毒要犯:冲击波病毒MSBlast.A
此三种八月份之病毒爆发都有其个别的明显特征,冲击波病毒MSBlast.A成为8月11日前,自Code Red 与SQL Slammer后,第三个重大网络型病毒,它利用微软于7月16日所公开的RPC DCOM 缓冲区溢位的弱点(Microsoft Security Bulletin MS03-026),影响最新的Windows系统。MSBlast.A利用扫瞄企业内部网络或网际网络上IP的方式,找到新的目标后,透过通讯端口(Port135)开始传输感染程序代码,并将受感染计算机的通讯端口(Port4444)当作后门开放的界面。此病毒主要破坏的特性是在8月16日起,利用分布式阻断服务(DDoS)攻击微软的 Windows Update Web 网站,但更大的危害来自于所浪费掉的频宽以及被感染计算机不断当机与重新开机所耗费的时间。
信息安全提供者很快就发现RPC DCOM缓冲区溢位弱点是一项严重的缺失,这将使得攻击者得以取得攻击目标的所有权限并得以在其中执行程序。由于 MSBlast.A 仅在修补程序发表 26 天之后即发动攻击,使得数百万未来得及安装修补程序的使用者暴露于危机之下。由于这只病毒会影响到 Windows NT/2000/XP 的使用者,使得可能受害人数大幅上扬,不像之前的 Code Red 或 Slammer 病毒只会感染特定的服务器平台。这表示 MSBlast.A 的受害者中将有一大部分是家庭用户,而之前的病毒攻击对这些家庭用户并不具备杀伤力。
幸好 MSBlast.A 的并未充分发挥其杀伤力。病毒本身设计上的缺陷与错误不仅降低了传输率,同时也缓和了对被感染者的影响(当然,这有可能是作者的设计本意就是如此)。比起之前的网络蠕虫,MSBlast.A 的传播速度要慢得多,此外,MSBlast.A 开始爆发与发动预定的攻击之间隔了五天,这使得数以百万计的使用者得以下载修补程序,信息安全企业与网络管理者也有时间来抑止病毒爆发,同时也让ISP业者与网络有时间来围堵受感染的区域,以防止来自受感染网域的分布式阻断服务攻击。
冲击波变种MSBlast.D:假好心清除 Blast.A,再度酿下大祸
媒体在8月18日把焦点放在与MSBlast.A攻击同样弱点之另一只新的冲击波变种MSBlast.D病毒 (a/k/a Welchia, Nachi)。但MSBlast.D仍然有一些不同处,事实上,MSBlast.D等于是对 MSBlast.A 的反击,它会先移除先前已受感染计算机上的病毒,再试图安装更新档。这些贡献让它得以名列史上极少数能够"防毒的病毒",其它这类防病毒的病毒包括能防 Code Red 的 Code Green, 还有能防 Linux 上的 Lion Trojan 这只特洛伊木马的 Cheese 蠕虫。 MSBlast.D有很多理由极可能安装修正程序失败,例如遇到中文、韩文、英文以外的语言系统。不过有一些人反而给这只病毒的技巧表示不同的看法,导致媒体在"益虫( GoodWorm)"与"害虫(Badworm)"的主题上引起讨论。信息安全提供者,相较于好病毒的说法,一般都很快地表示负面的观点,大部分信息安全专家视发行病毒程序代码是一项不负责任的作为,因为结果是无法预测跟控制的。趋势科技TrendLabs资深防毒顾问 Jamz Yaneza道:「无论如何,在没有系统使用者的允许及知会而执行程序代码基本上就是不道德的,是根本无法与"好病毒"相提并论"。」
不管怎样,即使是"益虫( GoodWorm)",它也不会是MSBlast.D!尤其在19日跟20日更是明显,这只变种病毒对企业网络比上一版的病毒还造成更严重的损害。MSBlast.D在技术上有了一些改善,例如更密集的网络扫瞄,使得它可以更快速地散播。在病毒做网络扫瞄和修补程序的下载活动中,当随着感染更多计算机的同时,马上就很快速地消耗了可用的频宽与资源,使网络变的更慢、不稳,最后瘫痪整个网络服务。航空公司、银行、主要的铁路公司、政府机构以及许多企业在这波猛烈的攻击中,纷纷停摆。MSBlast.D有时散播的比MSBlast.A还快,然而当风险已经转移到一般家庭用户时,两只蠕虫仍继续以中等的速度散播。
Sobig.F:"史上最快速的电子邮件蠕虫"
当许多企业还在与冲击波病毒奋战的同时,一只新的网络威胁在8月19日爆发了,霸王虫病毒Sobig.F虽然是透过最普遍之一般电子邮件散播方法,但它的速度却非比寻常,已广泛的被宣称是"史上最快速的电子邮件蠕虫"。Sobig.F以利用大量的有毒电子邮件及邮件附文件散播至网络上,塞爆收件夹,并使得邮件服务器当机。一些企业报告必须先关闭邮件服务器,直到他们已经可以控制此威胁为止。
然而,要宣称Sobig.F是史上最坏的蠕虫或许太言之过早,由许多的统计显示出它散播相当快速。一家电子邮件过滤服务提供者,Postini,在第一天就已经抓到260万只Sobig.F,另一家也抓到100万只。世界最大的ISP, America Online,在8月20日就已经见到暴增至四倍的电子邮件流量,另外有一家公司发言人表示当天在4050万封信件的附档中,有2320万封就含有Sobig.F,另外有50万封含有其它病毒威胁。几位信息安全专家宣称在此必毒爆发颠峰期间,所有的信件流量中就有65% 到 70%是Sobig.F。Sobig.F之所以能快速的传播速度的其中一个原因,是它具有多达7个特定的多执行序架构,可以同时进行大量的邮件寄送(mass-mailing)工作。
霸王虫病毒Sobig.F持续在八月底快速散播。在趋势科技病毒的追踪调查显示,Sobig.F病毒在8月28日感染达到最颠峰,约有300,000 台感染的计算机数。依感染率的减少,Sobig.F所造成的负担已逐渐转移到一般用户及小型企业,因为大型企业网络大致上都已经更新病毒码,同时也在网关端布下邮件过滤解决方案。
Sobig.F 9/10 自动失效,提防 Sobig.G 9/11 上阵
无论如何,大多数的 Sobig.F病毒活动应该随着病毒本身的设计而在9月10日结束,所有五月以后的Sobig变种都被设计在爆发几周后,预定自行过期而失效,如果犯罪者一直没被抓到,很可能下一个Sobig.G会再次出现。
从一月以来,这第六只变种的Sobig病毒被认为是犯罪型有组织性攻击的一部份 ,很显然地,它渐渐走向建立更大规模受感染计算机的计画,以作为病毒嫌犯控制端。 此电子邮件病毒本身只是一个开端,其试图展开快速、广泛又大量计算机之散播。第二步及第三步则是将这些大量的受感染计算机与病毒撰写者联机,用来传输特洛伊木马及后门代理程序至受害的计算机。
就病毒方法而论,Sobig.F 却呈现失败的攻击手法。很讽刺的是,它散播的"成功之处"可能成为失败的地方。由于在媒体的注意、信息安全建立与法律单位强力的实施上都更甚于前一版本病毒,相关机构能成功地追踪并停止欲进行下一步病毒行动的IP地址。
霸王虫病毒Sobig.F的目的是什幺呢?基于早期的版本,很多专家认为受感染的计算机是被用来散播大量的垃圾Spam邮件,它们或许还含有其它目的,例如用来做分布式阻绝服务攻击(DDoS)和信用卡资料的盗取,但其中后门代理程序的利用也显示出匿名的大量邮件散播(anonymous mass-mailing)能力已成为病毒的基本需求。然而,真正实情还得等到病毒作者被抓到受法律制裁后才能大白。由于现今还存在许多未知的实情,如果另一个版本的Sobig病毒在此时爆发,就没有理由会再发生如Sobig.F一样的病毒,因为未来的变种病毒会依据前一个月的病毒事件,而发展出更多不同特性的新型病毒。
趋势科技八月病毒排行 1.WORM_SOBIG.F霸王虫 1,456,703
2. WORM_LOVGATE.G后门爱虫 693,203
3.WORM_LOVGATE.F后门爱虫 127,027
4.WORM_KLEZ.H求职信 109,852
5.PE_PARITE.A 102,324
6.X97M_LAROUX.XE 69,218
7.JS_CBASE.EXP1 65,343
8.TROJ_MULTIBND.12 64,813
9.WORM_MAPSON.C 64,604
10.WORM_MIMAIL.A米虫 64,172
11.WORM_MSBLAST.A冲击波 59,557
12.WORM_MSBLAST.D冲击波 52,056
2003年8月1-30日,由趋势科技的病毒扫描程序HouseCallTM 趋势科技免费在线扫毒服务
以及Trend Micro Control Manager (TMCM)企业安全控管中心所侦测到的受感染计算机数目,实际全部的计算机受害者为此数据的好几倍(来源: 趋势科技全球病毒实时监控中心)
病毒呈现大规模组织式攻击,笔记本易成为漏网之鱼
回顾八月份最流行的病毒,指出Sobig.F霸王虫病毒相当规模的攻击,也显出长久以来的网络型病毒(Klez.H及Lovgate.G, F)虽然在这些新的病毒爆发事件的同时,已被大家所忽略,但其实在此月份仍是相当活跃。如果没有Sobig.F病毒的出现,从Lovegate.F变种出来的爱之门病毒Lovgate.G,很显然地会变成此月份最活跃的威胁。此二个以电子邮件与企业网络分享散播的Lovgates病毒,利用了非常多的奸计繁衍,以致于难以灭绝。只要有残余的病毒没有清除干净,或是让其从防御的漏洞溜掉,例如感染了平时不会连上企业网络的员工笔记本,此病毒可以很快地会再次快速散播,迫害到更多的计算机。
一周病毒回顾
一周病毒情况报告
本周用户报告感染数量较多的病毒列表如下:
·WORM_MSBLAST.D
·WORM_SOBIG.F
·WORM_KLEZ.H
·WORM_LOVGATE.G
·VBS_REDLOF.A.GEN
本周收到大量的WORM_SOBIG.F的感染报告。因此,趋势科技提醒客户注意及时更新病毒码,同时警惕收到的不明电子邮件中的附件,以免被感染。
近期热门病毒综述-WORM_AGOBOT.P
趋势科技近期发布了WORM_AGOBOT.P病毒通告,该病毒同样利用的微软的RPC DCOM漏洞
辞恶意程序同时具备蠕虫以及后门程序的能力。为了在网络上传播,一个远程的恶意用户可以发布一些指令使得该恶意程序扫描具有如下属性的目标系统:
弱的共享口令
具有RPC DCOM缓冲溢出漏洞
具有定向器缓冲溢出漏洞
一旦这样的系统被找到,恶意程序将自身复制到该系统,并执行。
作为后门程序时,该恶意程序会连接到远程的IRC服务器,通过该服务器,远程的恶意用户可以发送命令到该系统并执行。
这个恶意程序可以在 Windows NT, 2000 以及 XP 系统上运行。
对该病毒的防护可以从以下连接下载最新版本的病毒码:
该网址不再展示
病毒详细信息,可以查询:
该网址不再展示
MDAC未检验缓冲区缺陷
Microsoft Data Access Components (MDAC)是Windows平台上用于提供数据库连接的一个组件的集合。MDAC是一种很普遍的技术,存在于大多数的Windows系统中。
MDAC为一些数据库操作提供了底层的功能,例如连接到远程的数据库并将数据返回到客户端。当一个客户机系统尝试在网络中寻找一个运行SQL服务器的清单时,会想网络中的所有设备发送广播类型的查询。但由于一个特定MDAC组件中的缺陷,一个攻击者可以使用一个精心构造的数据包响应这个请求,从而引起缓冲溢出。
如果攻击者能够成功的利用这个缺陷,将获得与发起广播请求的应用程序相同级别的权限。攻击者所能进一步采取的动作取决于运行MDAC的应用程序的权限许可。如果该应用程序严格受限,则攻击者也同样受限;然而如果该应用程序运行在本地系统上下文中,攻击者将获得相同的权限。操作可以包括建立,修改或删除系统中的数据,重新配置系统。甚至也可以将硬盘格式化,以及运行攻击者所选择的程序。
漏洞详细信息,以及补丁程序的下载,请查询以下链接: 该网址不再展示
病毒码情况
截至目前,病毒码的最高版本为622,发布于2003年8月27日。
截至目前新增可以检测的病毒数量为35个,病毒码下载地址为:
该网址不再展示
您也可以从以下链接下载TSUT工具进行趋势科技Windows平台产品的更新:
该网址不再展示
使用TSUT工具前,请阅读TSUT工具的使用说明:
该网址不再展示
TSC工具最新版本为169,下载地址为
该网址不再展示消毒工具/通用工具/TSC/
OPP已经更新至版本52,请使用TMCM的用户注意更新
Microsoft IIS常见漏洞概览
(1)、Null.htw
IIS如果运行了Index Server就包含了一个通过Null.htw有关的漏洞,即服务器上不存在此.htw结尾的文件。这个漏洞会导致显示ASP脚本的源代码, global.asa里面包含了用户帐户等敏感信息。如果攻击者提供特殊的URL请求给IIS就可以跳出虚拟目录的限制,进行逻辑分区和ROOT目录的访问。而这个"hit-highlighting"功能在Index Server中没有充分防止各种类型文件的请求,所以导致攻击者访问服务器上的任意文件。Null.htw功能可以从用户输入中获得3个变量:
CiWebhitsfile
CiRestriction
CiHiliteType
(2)、MSADC- 执行本地命令漏洞
这个漏洞出现得比较早,但在全球范围内,可能还有好多IIS WEB服务器存在这个漏洞,就像在今天,还有很多人在用Windows3.2一样。IIS的MDAC组件存在一个漏洞,可以导致攻击者远程执行目标系统的命令。主要核心问题是存在于RDSDatafactory,默认情况下,它允许远程命令发送到IIS服务器中,这命令会以设备用户的身份运行,在默认情况下是SYSTEM用户。
(3)、ASP Dot Bug
这个漏洞出现得比较早了,是Lopht小组在1997年发现的缺陷,这个漏洞也是泄露ASP源代码给攻击者,一般在IIS3.0上存在此漏洞,在请求的URL结尾追加一个或者多个点导致泄露ASP源代码。该网址不再展示目标机.com/sample.asp.
(4)、idc & .ida Bugs
这个漏洞实际上类似ASP dot 漏洞,其能在IIS4.0上显示其WEB目录信息,很奇怪有些人还在IIS5.0上发现过此类漏洞,通过增加?idc?或者?ida?后缀到URL会导致IIS尝试允许通过数据库连接程序.DLL来运行.IDC,如果此.idc不存在,它就返回一些信息给客户端。
(5)、+.htr Bug
这个漏洞是由NSFOCUS发现的,对有些ASA和ASP追加+.htr的URL请求就会导致文件源代码的泄露
(6)、NT Site Server Adsamples 漏洞
通过请求site.csc,一般保存在/adsamples/config/site.csc中,攻击者可能获得一些如数据库中的DSN,UID和PASS的一些信息
(7)、IIS HACK
这是一个IIS4.0的缓冲溢出漏洞,可以允许用户上载程序,如上载netcat到目标服务器,并把cmd.exe绑定到80端口。这个缓冲溢出主要存在于.htr,.idc和.stm文件中,其对关于这些文件的URL请求没有对名字进行充分的边界检查,导致运行攻击者插入一些后门程序在系统中下载和执行程序。
(8)、webhits.dll & .htw
这个hit-highligting功能是由Index Server提供的允许一个WEB用户在文档上highlighted(突出)其原始搜索的条目,这个文档的名字通过变量CiWebhitsfile传递给.htw文件,Webhits.dll是一个ISAPI应用程序来处理请求,打开文件并返回结果,当用户控制了CiWebhitsfile参数传递给.htw时,他们就可以请求任意文件,结果就是导致可以查看ASP源码和其它脚本文件内容。
这个问题主要就是webhits.dll关联了.htw文件的映像,所以你只要取消这个映像就能避免这个漏洞,你可以在你认为有漏洞的系统中搜索.htw文件,一般会发现如下的程序:
/iissamples/issamples/oop/qfullhit.htw
/iissamples/issamples/oop/qsumrhit.htw
/isssamples/exair/search/qfullhit.htw
/isssamples/exair/search/qsumrhit.htw
/isshelp/iss/misc/iirturnh.htw (这个一般为loopback使用)
(9)、ASP Alternate Data Streams(::$DATA)
$DATA这个漏洞是在1998年中期公布的,$DATA是在NTFS文件系统中存储在文件里面的main data stream属性,通过建立一个特殊格式的URL,就可能使用IIS在浏览器中访问这个data stream(数据流),这样做也就显示了文件代码中这些data stream(数据流)和任何文件所包含的数据代码。
其中这个漏洞需要下面的几个限制,一个是要显示的这个文件需要保存在NTFS文件分区(幸好为了"安全"好多服务器设置了NTFS格式),第二是文件需要被ACL设置为全局可读。而且未授权用户需要知道要查看文件名的名字,WIN NT中的IIS1.0, 2.0, 3.0和4.0都存在此问题。微软提供了一个IIS3.0和4.0的版本补丁。
(10)、ISM.DLL 缓冲截断漏洞
这个漏洞存在于IIS4.0和5.0中,允许攻击者查看任意文件内容和源代码。通过在文件名后面追加近230个+或者?%20?(这些表示空格)并追加?.htr?的特殊请求给IIS,会使IIS认为客户端请求的是?.htr?文件,而.htr文件的后缀映像到ISM.DLL ISAPI应用程序,这样IIS就把这个.htr请求转交给这个DLL文件,然后ISM..DLL程序把传递过来的文件打开和执行,但在ISM.DLL 截断信息之前,缓冲区发送一个断开的 .Htr 并会延迟一段时间来返回一些你要打开的文件内容。可是要注意,除非 WEB 服务停止并重启过,否则这攻击只能有效执行一次。如果已经发送过一个 .htr 请求到机器上,那幺这攻击会失效.它只能在 ISM.DLL 第一次装入内存时工作。
(11)、存在的一些暴力破解威胁.htr程序
IIS4.0中包含一个严重漏洞就是允许远程用户攻击WEB服务器上的用户帐号,就是你的WEB服务器是通过NAT来转换地址的,还可以被攻击。每个IIS4..0安装的时候建立一个虚拟目录/iisadmpwd,这个目录包含多个.htr文件,匿名用户允许访问这些文件,这些文件刚好没有规定只限制在loopback addr(127.0.0.1),请求这些文件就跳出对话框让你通过WEB来修改用户的帐号和密码。这个目录物理映像在下面的目录下:
c:winntsystem32inetsrviisadmpwd
Achg.htr
Aexp.htr
Aexp2.htr
Aexp2b.htr
Aexp3.htr
Aexp4.htr
Aexp4b.htr
Anot.htr
Anot3.htr
这样,攻击者可以通过暴力来猜测你的密码。如果你没有使用这个服务,请立即删除这个目录。
(12)、Translate:f Bug
这个漏洞发布于2000年8月15号(www.securityfocus.com/bid/1578),其问题是存在OFFICE 2000和FRONTPAGE 2000Server Extensions中的WebDAV中,当有人请求一个ASP/ASA后者其它任意脚本的时候在HTTP GET加上Translate:f后缀,并在请求文件后面加/就会显示文件代码,当然在没有打WIN2K SP1补丁为前提。这个是W2K的漏洞,但由于FP2000也安装在IIS4.0上,因此在IIS4.0上也有这个漏洞
(13)、IIS存在的Unicode解析错误漏洞
NSFOCUS安全小组发现微软IIS 4.0和IIS 5.0在Unicode字符解码的实现中存在一个安全漏洞,导致用户可以远程通过IIS执行任意命令。当IIS打开文件时,如果该文件名包含unicode字符,它会对其进行解码,如果用户提供一些特殊的编码,将导致IIS错误的打开或者执行某些web根目录以外的文件。
瑞星单机版杀毒软件可能与金山词霸冲突
由于瑞星单机版杀毒软件可能与金山词霸要求电脑使用同一端口,从而导致用户在具体的使用中,如果同时安装了瑞星单机版杀毒软件与金山词霸会引起两者的不兼容。
具体内容请查看如下链接:
|
|
--
如果这都不算爱......
您是自2003.8.1.起第 个看我的人 |
|
|
2003-09-05 15:48:20
