可以看出,漏洞利用者想尽了利用的方式,mycars[0] = "c:/Program Files/Outlook Express/wab.exe";mycars[1] = "d:/Program Files/Outlook Express/wab.exe";mycars[2] = "e:/Program Files/Outlook Express/wab.exe";这个是能够触发直接运行恶意程序的利用方式,而后两句,一个是写入启动项,一个是写入迅雷开机自启动里面。甚至说即使不直接触发漏洞运行,写在启动里面,开机后恶意程序也会悄悄的运行。而代码里这句hxxp://jijiks8ahsda.cn/9/ck.exe就是运程下载恶意程序的地址了。
目前这个漏洞利用代码已经在网上传开了,而杀毒软件自带的漏洞更新程序并未见到这个官方给出的这个漏洞的补丁。
笔者GHOST完系统后,系统中自带了OFFICE2003,把这个hxxp://jijiks8ahsda.cn/9/ck.ex换成了一个自写的VB小程序亲自在本地测试了一下这个漏洞,运行该网页后弹出了程序窗口,并且在启动项里找到VB小程序。该漏洞对于未做安全防护的用户中马的概率十分的高,最后做了下全局域网的安全防护。
首先设置一下IE的安全级别,所有机器上INTERNET安全级别设置了为“高”,之后在受限站点里面加入该站点,加入该恶意站点。然后通过禁用COM组件安装包,来禁止该漏洞触发,这只能是临时解决方案。将以下代码复制到记事本。
1
Windows Registry Editor Version 5.00
2[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F0E42D50-
3368C-11D0-AD81-00A0C90DC8D9}]
4"Compatibility Flags"=dword:00000400
5[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F0E42D60-
6368C-11D0-AD81-00A0C90DC8D9}]
7"Compatibility Flags"=dword:00000400
8[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F2175210-
9368C-11D0-AD81-00A0C90DC8D9}]
10"Compatibility Flags"=dword:00000400
Windows Registry Editor Version 5.002
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F0E42D50- 3
368C-11D0-AD81-00A0C90DC8D9}]4
"Compatibility Flags"=dword:000004005
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F0E42D60- 6
368C-11D0-AD81-00A0C90DC8D9}]7
"Compatibility Flags"=dword:000004008
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F2175210- 9
368C-11D0-AD81-00A0C90DC8D9}]10
"Compatibility Flags"=dword:00000400把其另存为safe.reg,在全局域网所有机器上执行,导入注册表,这样就手工禁用了COM组件安装包。最后开启所有机器上的杀毒软件的网页木马拦截功能,等待官方的补丁出来后,迅速打上该补丁。
